In der aktuellen Ausgabe des Security-Jahresberichts „Cyber Risk Report 2013“ analysiert HP Security Research Sicherheitsprobleme und Schwachstellen von IT-Umgebungen in Großunternehmen. Die zunehmende Verbreitung von Mobile Devices, unsichere Anwendungen und – inzwischen ein Klassiker – Java haben laut HP die Risikolage in den Unternehmen weiter verschärft.

Trotz intensiver Suche nach Schwachstellen (Vulnerability Research), so HP, habe sich die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent verringert. Die Zahl kritischer Schwachstellen nahm sogar um neun Prozent ab, der vierte Rückgang in Folge.

 

Diese Rückgänge sind allerdings, so warnt HP, kein Anlass für Entwarnung: Vielmehr ließen sie darauf schließen, dass Schwachstellen häufiger als früher auf dem Schwarzmarkt gehandelt und somit potenziell für kriminelle Zwecke genutzt werden. Dieser Anteil lasse sich aber nicht quantifizieren.

 

Rund 80 Prozent aller im Bericht untersuchten Anwendungen enthielten laut HP-Angaben mindestens eine Schwachstelle, die nicht am Quellcode lag: Ursachen seien beispielsweise fehlerhafte Server-Konfigurationen, Dateisysteme oder zur Anwendung gehörige Beispieldateien gewesen. Selbst hervorragend programmierte Software sei angreifbar, wenn sie falsch konfiguriert ist.

 

Seitens HP moniert man, dass inkonsistente und variierende Definitionen des Begriffs „Malware“ die Analyse von Compliance-Risiken erschweren. Bei der Untersuchung von über 500.000 Android-Apps habe man große Unterschiede zwischen den „Malware“-Definitionen seitens der Plattformanbieter und der Antiviren-Softwarehersteller feststellen müssen.

 

In der Tat zählen die Antivirenhersteller laut Security-Fachleuten jede Veränderung am Code als eigene Variante, um möglichst dramatische Zahlen verkünden zu können. So hat zum Beispiel Kaspersky Labs kürzlich verkündet, die zehnmillionste Android-Malware entdeckt zu haben. 98 Prozent aller Mobile Malware ziele auf Googles Mobilgeräte-OS.

 

HP wiederum warnt, 46 Prozent aller untersuchten mobilen Apps nutzten Verschlüsselung auf falsche Art und Weise: Viele Entwickler verzichteten ganz auf die Verschlüsselung von Daten, die auf mobilen Geräten gespeichert werden, während andere schwache Algorithmen nutzten oder aber starke Algorithmen fehlerhaft verwendeten, sodass diese unnütz seien.

 

„Sandbox Bypass“-Sicherheitslücken waren laut HP die häufigsten und gefährlichsten Java-Schwachstellen. Damit könne ein Angreifer die Sandbox, in der die Java-Laufzeitumgebung potenziell unsichere Anwendungen ausführt, umgehen. Cyberkriminelle nutzten Java laut HP wesentlich häufiger als früher für gezielte Angriffe. Zum Einsatz kämen meist Kombinationen von bekannten und neuen („Zero-Day“-) Angriffen.

 

„Angreifer sind heute geschickter als je zuvor“, so Jacob West, Chief Technology Officer, Enterprise Security Products bei HP. „Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun.“ Unternehmen müssten sich deshalb untereinander über Sicherheitsinformationen und -taktiken austauschen, um die wachsenden Cybercrime-Machenschaften zu stören.

 

Deshalb gibt HP den Unternehmen folgende Security-Empfehlungen:

 

* Cyberangriffe werden immer häufiger, die Nachfrage nach sicheren Anwendungen wächst. Unternehmen müssen deshalb sicherstellen, dass sie unter keinen Umständen Informationen herausgeben, die für Angreifer nützlich sein könnten.

 

* Unternehmen und Entwickler müssen sich ständig der Sicherheitslücken bewusst sein, die sich in Laufzeitumgebungen oder anderer Software Dritter auftun können – das gilt besonders für den Umgang mit hybriden, mobilen Entwicklungsplattformen. Deshalb braucht es robuste Sicherheitsrichtlinien, um die Integrität von Anwendungen und die Privatsphäre von Nutzern zu schützen.

 

* Die Angriffsfläche, die eine IT-Umgebung bietet, lässt sich nicht verkleinern, ohne Kompromisse bei der Funktionalität einzugehen. Doch mit der richtigen Verbindung aus guten Mitarbeitern, Prozessen und Technik können Unternehmen ihre Schwachstellen minimieren und ihr Gesamtrisiko erheblich begrenzen.

 

* Die unternehmensübergreifende Zusammenarbeit von IT-Sicherheitsexperten und der Austausch von Informationen über Bedrohungen ermöglichen es allen Beteiligten, mehr über das Vorgehen von Angreifern zu lernen und IT-Sicherheit stärker präventiv zu gestalten. Zudem verbessert eine derartige Zusammenarbeit die Schutzwirkung von IT-Sicherheitslösungen und trägt so dazu bei, die IT insgesamt sicherer zu machen.

 

Der HP Cyber Security Report 2013 ist gegen Registrierung erhältlich unter info.hpenterprisesecurity.com/register_hpenterprisesecurity_cyber_risk_report_2013.

Angreifer nutzen laut HPs Cyber Security Report Schwachstellen durch falsch konfigurierte Anwendungen ebenso sowie Zero-Day-Angriffe (im Bild ein Zero-Day-Angriff auf einen Joomla-Web-Server). Bild: HP