Falsch implementierte Software schafft Einfallstore in Firmen

SicherheitSoftware
Der bislang größte DDos-Angriff nutzte das Protokoll NTP.

Das geht aus der aktuellen Ausgabe des “HP Cyber Risk Report” hervor. Für ihn wurden von HP Security Research Schwachstellen in der Unternehmens-IT analysiert. Für neue Risiken sorgen demnach mobile Endgeräte, unsichere Software und Java.

Gut 80 Prozent aller in Firmen verwendeten Anwendungen bieten Angreifern wenigstens eine Schwachstelle, die ihre Ursache außerhalb des jeweiligen Quellcodes – beispielsweise durch fehlerhafte Server-Konfigurationen, fehlerhafte Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien. Das ist eines der wichtigsten Ergebnisse des jetzt von HP vorgelegten Cyber Risk Report 2013. Nach Ansicht des Konzerns zeigt das, dass auch hervorragend programmierte Software angreifbar werden kann, wenn sie falsch konfiguriert wird.

Der HP Cyber Risk Report weist auf neue Schwachstellen in Unternehmenssoftware hin.

Die Studie wird von HP Security Research erstellt und erscheint einmal im Jahr. Mit ihr will HP auf die seinen Erkenntnissen zufolge drängendsten Sicherheitsprobleme in der IT von Unternehmen hinweisen. Sie steht kostenlos zum Download bereit. Ein Schwerpunkt der diesjährigen Ausgabe liegt darauf, neue Risiken durch den zunehmenden Einsatz von mobilen Endgeräten, unsichere Software und Java aufzuzeigen. Alle drei Faktoren tragen laut HP dazu bei, dass Unternehmen immer mehr Angriffsfläche bieten.

“Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun”, wird Jacob West, bei HP Chief Technology Officer für den Bereich Enterprise Security Products, in einer Pressemitteilung zitiert. Seiner Ansicht nach müssten sich Unternehmen zusammentun und sich “über Sicherheitsinformationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.”

Laut dem Bericht wurde im vergangenen Jahr intensiver gezielte nach Schwachstellen gesucht als früher. Dennoch sei die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent zurückgegangen, die Zahl der gravierenden Schwachstellen nahm sogar um neun Prozent ab.

Laut HP ist das aber kein Grund zur Freude: “Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht werden, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt.”

In Bezug auf Mobil-Anwendungen nutzen HP zufolge 46 Prozent aller untersuchten Programme Verschlüsselungs-Technologien auf falsche Art und Weise. Viele Entwickler verzichteten beim Speichern von Daten auf mobilen Geräten entweder ganz auf die Verschlüsselung, nutzten schwache Algorithmen oder setzen zwar starke Algorithmen ein, dies aber so fehlerhaft, dass sie auch nichts nützen.

Microsofts Internet Explorer war die Anwendung, die am häufigsten von Experten der HP Zero Day Initiative (ZDI) geprüft wurde. Sie haben eigenen Angaben zufolge so mehr als 50 Prozent der bislang bekannten Schwachstellen des Internet Explorers aufgedeckt. Gleichzeitig weisen sie darauf hin, dass die Zahl nichts über die Sicherheit des Microsoft-Browsers aussage – man habe sich lediglich aufgrund von Markteinflüssen auf Schwachstellen in Microsoft-Anwendungen konzentriert.

Java-Nutzer warnt HP vor allem vor “Sandbox-bypass”-Sicherheitslücken. Angreifer nutzen solche Schwachstellen, um die Sandboxe, in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. HP zufolge nutzen Kriminelle Java wesentlich häufiger als früher, um einzelne Ziele anzugreifen. Sie verwendeten dazu meist gleichzeitig bekannte und neue Angriffsvarianten.

Darauf, dass die von Java ausgehende Gefahr größer wird, hat auch die Cisco-Tochter Sourcefire in einem von ihr kürzlich vorgelegten Bericht hingewiesen. Demzufolge entfallen auf die Oracle-Software 91 Prozent aller Angriffe. Allerdings werden von ihr sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen