Discover Performance

Für IT-Führungskräfte // März 2014
Registrieren

80 Prozent aller Anwendungen weisen Sicherheitslücken auf

HP hat den Cyber Risk Report 2013 veröffentlicht. Dieser benennt die größten Schwachstellen von IT-Umgebungen in Großunternehmen und beschreibt die derzeitige Bedrohungslage. Mobile Endgeräte, unsichere Software und Java sorgen für neue Risiken.

Die Studie wird von HP Security Research erstellt und erscheint einmal im Jahr. Sie enthält jeweils neue Daten und Analysen zu den drängendsten IT-Sicherheitsproblemen großer Unternehmen. Die diesjährige Ausgabe beschreibt unter anderem, wie der zunehmende Einsatz von mobilen Endgeräten, unsicherer Software und Java dazu beigetragen hat, dass Unternehmen seit 2013 mehr Angriffsfläche bieten als zuvor. Außerdem enthält der neue Report Empfehlungen, wie Organisationen Sicherheitsrisiken minimieren und die Schadenswirkung von Angriffen begrenzen können.

„Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun“, sagt Jacob West, Chief Technology Officer, HP Enterprise Security Products. „Unternehmen müssen sich zusammentun und sich untereinander über Sicherheitsinformationen und -taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.“

Schlüsselergebnisse der Studie

  • Der gezielten Suche nach Schwachstellen („Vulnerability Research“) wurde im vergangenen Jahr mehr Beachtung zuteil als zuvor. Dennoch verringerte sich die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent (1). Die Zahl der kritischen Schwachstellen nahm um neun Prozent (1) ab, der vierte Rückgang in Folge. Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt werden. Dieser Zuwachs ist jedoch nicht zu quantifizieren.
     
  • Gut 80 Prozent (2) aller im Bericht untersuchten Anwendungen enthielten wenigstens eine Schwachstelle, die ihre Ursache außerhalb des jeweiligen Quellcodes hatte – und beispielsweise durch fehlerhafte Server-Konfigurationen, fehlerhafte Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien verursacht war. Das zeigt: Auch hervorragend programmierte Software kann angreifbar werden, wenn sie falsch konfiguriert wird.
     
  • Inkonsistente und voneinander abweichende Definitionen des Begriffs “Malware” erschweren die Analyse von Compliance-Risiken. Beim Untersuchen von über 500.000 mobilen Anwendungen für das Betriebssystem Android entdeckte HP schwerwiegende Unterschiede zwischen dem, was Antiviren-Software-Hersteller als „Malware“ definieren, und den entsprechenden Definitionen von Herstellern mobiler Plattformen (3).
     
  • 46 Prozent (2) aller untersuchten mobilen Anwendungen nutzen Verschlüsselungstechnologien auf falsche Art und Weise. HPs Untersuchungen zeigen, dass viele Entwickler entweder ganz auf die Verschlüsselung von Daten verzichten, die auf mobilen Geräten gespeichert werden. Andere verschlüsseln die Daten zwar, nutzen dafür aber schwache Algorithmen – oder setzen starke Algorithmen so fehlerhaft ein, dass diese unnütz werden.
     
  • Microsofts Internet Explorer war die Anwendung, die am häufigsten von Experten der HP Zero Day Initiative (ZDI) geprüft wurde. Durch die Prüfungen wurden mehr als 50 Prozent der bislang bekannten Schwachstellen des Internet Explorers aufgedeckt (4). Diese Ergebnisse gehen auf Markteinflüsse zurück, auf Grund derer sich die ZDI-Experten vor allem auf Schwachstellen in Microsoft-Anwendungen konzentrieren. Sie treffen keine Aussage über die Sicherheit des Microsoft-Webbrowsers.
     
  • „Sandbox-bypass“-Sicherheitslücken waren die häufigsten und gefährlichsten Schwachstellen für Java-Nutzer (2). Angreifer nutzen solche Schwachstellen, um die Sicherheitsumgebungen („Sandboxes“), in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. Cyberkriminelle nutzten Java wesentlich häufiger als früher, um einzelne Ziele anzugreifen. Dabei nutzten sie meist gleichzeitig bekannte und neue („Zero-Day“-) Angriffsvarianten.

 Empfehlungen für Unternehmen

  • Cyberangriffe werden immer häufiger, die Nachfrage nach sicheren Anwendungen wächst. Unternehmen müssen deshalb sicherstellen, dass sie unter keinen Umständen Informationen herausgeben, die für Angreifer nützlich sein könnten.
     
  • Unternehmen und Entwickler müssen sich ständig der Sicherheitslücken bewusst sein, die sich in Laufzeitumgebungen oder anderer Software Dritter auftun können – das gilt ganz besonders für den Umgang mit hybriden, mobilen Entwicklungsplattformen. Deshalb braucht es robuste Sicherheitsrichtlinien, die dazu beitragen, die Integrität von Anwendungen und die Privatsphäre von Nutzern zu schützen.
     
  • Die Angriffsfläche, die eine IT-Umgebung bietet, lässt sich nicht verkleinern ohne Kompromisse bei der Funktionalität einzugehen. Doch mit der richtigen Verbindung aus guten Mitarbeitern, Prozessen und Technologien können Unternehmen ihre Schwachstellen minimieren und ihr Gesamtrisiko erheblich begrenzen.
     
  • Die unternehmensübergreifende Zusammenarbeit von IT-Sicherheitsexperten und der Austausch von Informationen über Bedrohungen ermöglichen es allen Beteiligten, mehr über das Vorgehen von Angreifern zu lernen und IT-Sicherheit stärker präventiv zu gestalten. Zudem verbessert eine derartige Zusammenarbeit die Schutzwirkung von IT-Sicherheitslösungen und trägt so dazu bei, die IT insgesamt sicherer zu machen.

Methodik

HPs Cyber Risk Report erscheint seit 2009 jährlich. HP Security Research nutzt eine Reihe interner und externer Quellen, um den Bericht zu erstellen – darunter die HP Zero Day Initiative (ZDI), Sicherheitsbewertungen von HP Fortify on Demand, HP Fortify Software Security Research, Reversing Labs und die National Vulnerability Database. Die genaue Methodik ist im Bericht selbst beschrieben.

Die vollständige Studie 2013 können Sie hier herunterladen.

(1) HP Security Research (Februar 2014): Cyber Risk Report 2013. S. 20 - 21.
(2) HP Security Research (Februar 2014): Cyber Risk Report 2013. S. 4 - 5.
(3) Ergebnisse von HP Fortify on Demand wie im Cyber Risk Report 2013 beschrieben (S. 24).
(4) Daten der HP Zero Day Initiative wie im Cyber Risk Report 2013 beschrieben (S. 6).


Registrieren

Veranstaltungen und Webinare

HP ALM 12: Die Komplettlösung für Testmanagement

30.10.2014, Live-Webinar. Dieses Webinar stellt die Neuerungen der Version HP ALM 12 vor und integrierte Lösungen für die Ausführung von funktionalen und Performance-Tests sowie für Netzwerk- und Service-Virtualisierung. Damit lassen sich auch unter „Laborbedingungen“ logische Testbedingungen für alle Teststufen realisieren. Jetzt registrieren


Agile Testing Days 2014: 10. bis 13. November, Potsdam/Berlin

Besuchen Sie einen der wichtigsten Software Testing Events im europäischen Raum, und erleben Sie das Finale des Software Testing World Cups 2014 live vor Ort. Agenda und Anmeldung


Enterprise 20/20

Enterprise 20/20 - Einführung

Das erfolgreiche Unternehmen der Zukunft.

CIO 20/20

Herausforderungen und Chancen für den CIO der Zukunft.

Dev Center 20/20

Die Anwendungsentwicklung der Zukunft.

Marketing 20/20

Willkommen in der neuen Welt des datenbasierten Marketings.

IT Operations 20/20

Das Rechenzentrum der Zukunft.

Employee 20/20

Was die Mitarbeiter von der IT erwarten können und vice versa.

Security 20/20

Sich heute auf die Bedrohungen von morgen vorbereiten.

Mobility 20/20

Jeder und alles ist mit jedem und allem verbunden.

Data Center 20/20

Der Innovations- und Umsatzmotor des Unternehmens.

Weiterlesen

Weitere Informationen

Meistgelesene Artikel

Discover Performance

Alle Artikel anzeigen