Aktuelles, Branche, Produkte - geschrieben von am Samstag, Oktober 5, 2013 20:41 - noch keine Kommentare

Schutz durch moderne Security-Software wird unterlaufen: Unternehmen versäumen Sicherheitslecks zu beheben

KASPERSYK lab präsentiert auf der „it-sa 2013“ in Nürnberg Sicherheitslösungen für KMU und Großunternehmen vom 8. bis zum 10. Oktober 2013 in Halle 12 am Stand 416

[datensicherheit.de, 05.10.2013] Unternehmen und öffentliche Einrichtungen in Europa unterschätzen die Gefahr, die von bereits bekannten IT-Schwachstellen sowie Social-Engineering-Methoden ausgehen.
Dies ist das zentrale Ergebnis eines von Outpost24 und KASPERSKY lab gemeinsam durchgeführten Sicherheitsaudits. Die Experten analysierte dazu Sicherheitslecks, für die es bereits Patches gibt und führten ein Social-Engineering-Expertiment durch.

Unternehmen angreifbar aufgrund nicht behobener bekannter Sicherheitslücken

Ein zentrales Ergebnis dieser Untersuchung ist, dass viele Unternehmen bekannte Sicherheitslücken noch nicht behoben haben und damit überaus einfach angreifbar sind. Der gemeinsame Bericht verdeutlicht, dass Hacker großen Schaden anrichten können, auch ohne dabei auf ausgeklügelte Zero-Day-Exploits zurückzugreifen. Zwar steige die Anzahl dieser Art von Angriffen kontinuierlich, aber Cyber-Kriminelle nutzten nach wie vor hauptsächlich bereits bekannte Sicherheitsschwachstellen aus. Denn es dauere im Schnitt zwischen 60 und 70 Tage, bis Unternehmen ein Patch für eine Sicherheitslücke ausgerollt hätten. Damit bleibe Hackern genug Zeit, sich via bekannten Sicherheitslecks Zugang zu Unternehmensnetzwerken zu verschaffen. Auch sogenannte Social-Engineering-Methoden seien bei Angreifern beliebt – darüber verschafften sie sich nicht direkt Zugang zum firmeninternen Netzwerk, sondern versuchten die Mitarbeiter zu manipulieren.
Üblicherweise würden kritische Sicherheitsschwachstellen innerhalb von drei Monaten beseitigt. Allerdings ließen sich 77 Prozent der Lecks, die nicht innerhalb dieses Zeitraums behoben werden, sogar noch nach über einem Jahr nachweisen. Dies bestätigten Zahlen des Expertenteams von KASPERSKY lab und Outpost24, das Statistiken über Sicherheitsrisiken der vergangenen drei Jahre ausgewertet habe. Diese Schwachstellen seien kritisch, da Hacker dabei ein besonders leichtes Spiel hätten und die Auswirkungen enorm sein könnten. Die Experten seien sogar auf Schwachstellen in Unternehmenssystemen gestoßen, die in den letzten zehn Jahren nicht behoben worden seien – und dies obwohl die Firmen IT-Sicherheitslösungen implementiert hätten.

Feldversuch mit USB-Stick zum Social Engineering

Zusätzlich zur Auswertung diverser Statistiken führte David Jacoby, „Senior Security Researcher“ bei KASPERSKY lab, einen Feldversuch durch – er habe unter falscher Identität versucht, Empfangsmitarbeiter davon zu überzeugen, einen USB-Stick an deren Computer anzuschließen. So habe er in das interne Computersystem vordringen wollen. Insgesamt habe Jacoby elf Einrichtungen getestet, davon drei Hotels (von unterschiedlichen Hotelketten), sechs Behörden sowie zwei größere Firmen. Am wenigsten seien Mitarbeiter in den Behörden für derartige Social-Engineering-Methoden sensibilisiert – von sechs Einrichtungen hätten immerhin vier Jacoby erlaubt, seinen USB-Stick anzuschließen bzw. hätten ihn aufgefordert, die Dateien per E-Mail zu schicken. So seien
ihm noch bessere Möglichkeiten eröffnet worden, Schadsoftware auf den Behördenrechnern einzuschleusen. Von den Hotels habe es nur eines erlaubt, den fremden USB-Stick anzuschließen. Auch die Privatunternehmen hätten sich sehr vorsichtig gezeigt und dies nicht zugelassen.

KASPERSKY: Weckruf für Unternehmen und öffentliche Einrichtungen!

Die Ergebnisse ihres Audits belegten eindrucksvoll, dass es ein großes Sicherheitsproblem gebe. Dies sei eine relevante Erkenntnis für alle Länder weltweit, denn die kritische Zeitspanne von dem Moment, in dem eine Schwachstelle entdeckt wird, bis zu dem Zeitpunkt, wo sie geschlossen wird, bestehe in jedem Land. Auch die Resultate ihres Feldversuchs sollten ein Weckruf für Unternehmen und öffentliche Einrichtungen gleichermaßen sein. Es reiche nicht, das Augenmerk vor allem auf künftige Sicherheitslücken zu legen. Es sei mindestens genauso wichtig, die eigenen Mitarbeiter für aktuelle Sicherheitsrisiken zu sensibilisieren und dafür zu schulen, erläutert Jacoby.

Outpost24: Fokus auf alte und aktuelle Schwachstellen!

Unternehmen verschwendeten so viele wertvolle Ressourcen darauf, potenzielle Schwachstellen von Morgen aufzudecken. Dabei übersähen sie komplett, aktuelle und gar vergangene Sicherheitsbedrohungen zu beseitigen, betont Martin Jartelius, „Chief Security Officer“ bei Outpost24. Firmen müssten verstehen, dass Cyber-Kriminelle die Kontrolle über weite Teile des Unternehmensnetzwerks erlangen könnten, auch wenn sie keine neuen Angriffsmethoden verwendeten. Der Grund seien oft fehlende Sicherheitspraktiken, fehlerhaft konfigurierte Sicherheitsgeräte oder ungenügend geschulte Mitarbeiter. Unternehmen täten gut daran, integrierte Sicherheitslösungen zu implementieren und diese eng mit ihren Geschäftsprozessen zu verzahnen, empfiehlt Jartelius.

Weitere Informationen zum Thema:

Outpost24
EXPOSING THE SECURITY WEAKNESSES WE TEND TO OVERLOOK



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung