Fehlerhaft konfigurierte Software bildet Einfallstor in Firmennetze

Laut HPs "Cyber Risk Report 2013" sind gut 80 Prozent der in Unternehmen eingesetzten Anwendungen dadurch anfällig - selbst wenn ihr Quellcode selbst keine Schwachstellen aufweist. Neue Risiken gehen der Studie zufolge von Mobilgeräten und Java aus.

HP Security Research hat seinen „Cyber Risk Report 2013“ vorgelegt. Eines der wichtigsten Ergebnisse der Untersuchung ist, dass selbst Software, deren Quellcode keine Schwachstellen aufweist, durch fehlerhafte Implementierung zum Angriffspunkt werden kann. Der Studie zufolge sind gut 80 Prozent der in Unternehmen eingesetzten Programme aufgrund falscher Serverkonfiguration, fehlerhafter Dateisysteme oder zur Anwendung gehörender Beispieldateien anfällig.

Cybersicherheit (Bild: Shutterstock)

Der Sicherheitsbericht erscheint einmal im Jahr. Mit ihm will HP auf die seiner Ansicht nach drängendsten Sicherheitsprobleme in der Unternehmens-IT hinweisen. Er steht nach einer Registrierung kostenlos zum Download bereit. Ein Schwerpunkt der diesjährigen Ausgabe liegt darauf, neue Risiken durch den zunehmenden Einsatz von mobilen Endgeräten, unsichere Software und Java aufzuzeigen. Alle drei Faktoren tragen laut HP dazu bei, dass Unternehmen immer mehr Angriffsfläche bieten.

„Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun“, wird Jacob West, HPs Chief Technology Officer für den Bereich Enterprise Security Products, in einer Pressemitteilung zitiert. Seiner Ansicht nach müssten sich Unternehmen zusammentun und sich „über Sicherheitsinformationen und -taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören“.

Laut dem Bericht wurde im vergangenen Jahr intensiver gezielt nach Schwachstellen gesucht als früher. Dennoch sei die Zahl der öffentlich bekannt gewordenen Sicherheitslücken im Vergleich zum Vorjahr um sechs Prozent zurückgegangen, die Zahl der gravierenden Anfälligkeiten nahm sogar um neun Prozent ab. Laut HP ist das aber kein Grund zur Freude: „Die Rückgänge lassen darauf schließen, dass Schwachstellen häufiger als früher nicht öffentlich bekannt gemacht, sondern stattdessen am Schwarzmarkt für private oder kriminelle Zwecke genutzt werden.“

In Bezug auf Mobilanwendungen setzen HP zufolge 46 Prozent aller untersuchten Programme Verschlüsselungstechniken in unzureichender Weise ein. Viele Entwickler verzichteten beim Speichern von Daten auf mobilen Geräten entweder ganz auf die Verschlüsselung, nutzten schwache Algorithmen oder verwendeten zwar starke Algorithmen, dies aber so fehlerhaft, dass sie auch nichts nützen.

Microsofts Internet Explorer war die Anwendung, die am häufigsten von Experten der HP Zero Day Initiative (ZDI) geprüft wurde. Sie haben eigenen Angaben zufolge so mehr als 50 Prozent der bislang bekannten Schwachstellen des Browsers aufgedeckt. Gleichzeitig weisen sie darauf hin, dass die Zahl nichts über die Sicherheit der Software aussage – man habe sich lediglich aufgrund von Markteinflüssen auf Schwachstellen in Microsoft-Anwendungen konzentriert.

Java-Nutzer warnt HP vor allem vor „Sandbox-bypass“-Sicherheitslücken. Angreifer nutzen solche Schwachstellen, um die Sandbox, in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, vollständig zu umgehen. HP zufolge nutzen Kriminelle Java wesentlich häufiger als früher, um einzelne Ziele anzugreifen. Sie verwendeten dazu meist gleichzeitig bekannte und neue Angriffsvarianten.

Darauf, dass die von Java ausgehende Gefahr größer wird, hat auch die Cisco-Tochter Sourcefire in einem von ihr kürzlich vorgelegten Bericht hingewiesen. Demzufolge entfallen auf die Oracle-Software 91 Prozent aller Angriffe. Allerdings werden von ihr sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet. In einer Untersuchung des Sicherheitsanbieters GFI Software belegt Oracle den ersten Platz in der Negativrangliste der Unternehmen, deren Produkte 2013 die meisten Schwachstellen aufwiesen. Von den 514 neu entdeckten Lücken in Oracles Software entfielen allein 193 auf Java. Hinter Oracle folgen Cisco mit 373 und Microsoft mit 344 Lecks.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: BYOD, HP, Hewlett-Packard, Java, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Fehlerhaft konfigurierte Software bildet Einfallstor in Firmennetze

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *