Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen

Web-Applikationen zur Verarbeitung persönlicher Informationen oft nicht ausreichend vor Angriffen geschützt

[datensicherheit.de, 21.09.2023] CyCognito rät zu konsequentem Risikomanagement – „als Basis zum Priorisieren und Beheben wichtiger Schwachstellen in der externen Cyber-Angriffsfläche“. Dieser Empfehlung liegen Erkenntnisse aus einer aktuellen Studie zugrunde: Demnach gehören Web-Anwendungen zu den „größten Sicherheitsrisiken der externen Cyber-Angriffsfläche von Unternehmen“ – und seien trotzdem „viel zu oft nicht ausreichend geschützt“. Dies sei ein zentrales Ergebnis des vorliegenden „State of External Exposure Management Report“. Laut CyCognito wurden im Rahmen dieser Studie zwischen Juni 2022 und Mai 2023 3,5 Millionen über das Internet erreichbare „Assets“ wie Zertifikate, Domänen, Web-Server, API-Endpunkte und Web-Apps auf Schwachstellen untersucht. „Dabei wiesen 70 Prozent eklatante Sicherheitslücken auf, und knapp drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mail-Adresse, Kontodaten oder Passnummern verarbeiten, waren mindestens einer gefährlichen und öffentlich bekannten – aber vom Unternehmen bisher nicht behobenen – Schwachstelle ausgesetzt.“ Zehn Prozent dieser Apps hätten sogar eine für Angreifer leicht auszunutzende Lücke enthalten.

Abbildung: CyCognito

CyCognito rät zu regelmäßigen Überprüfung und Analyse betroffener Assets im Sinne eines konsequenten Risikomanagements…

Web-Apps machen 22% der typischen externen Cyber-Angriffsfläche aus

Von der äußeren Cyber-Angriffsfläche gehe für Unternehmen ein hohes Risiko aus. Um dieses effektiv zu minimieren, empfiehlt der CyCognito-Report, „neben regelmäßigen Überprüfungen die betroffenen ,Assets’ im Sinne eines konsequenten Risikomanagements im individuellen Kontext zu betrachten und entsprechend einzustufen, anstatt ausschließlich auf allgemeine Bewertungssysteme wie das ,Common Vulnerability Scoring System’ (CVSS) zu setzen.“ Denn nicht jede Sicherheitslücke berge für jedes Unternehmen die gleiche Gefahr.

Web-Apps machten 22 Prozent der typischen externen Cyber-Angriffsfläche aus und mindestens 30 Prozent von ihnen enthielten Sicherheitslücken. „Web-Applikationen werden oft zur Kommunikation mit Endkunden genutzt und stellen somit ein lohnendes Ziel für Cyber-Angriffe dar.“ Denn solche Apps arbeiteten häufig mit wertvollen personenbezogenen Daten und seien nicht nur anfällig für Fehlkonfigurationen, sondern auch für Zero-Day-Exploits.

Dass das von diesen Anwendungen ausgehende Risiko stark unterschätzt werde, zeigten die Zahlen des Reports: „Fast ein Drittel der untersuchten Web-Apps nutzen für die Kommunikation kein HTTPS-Protokoll, 70 Prozent wurden nicht von einer ,Web Application Firewall’ (WAF) geschützt, und 25 Prozent nutzten weder HTTPS noch eine WAF.“

56% der kritischen und hochsensiblen Schwachstellen über Web-Assets in Unterorganisationen

Die durch mit dem Internet verbundene „Assets“ entstehende äußere Cyber-Angriffsfläche von Unternehmen sei dynamisch und ständigen Änderungen unterworfen. Eine große Fluktuation aktiver und genutzter „Assets“ von etwa zehn Prozent im Monat erschwere es Unternehmen, einen Überblick zu behalten und die Bedrohungslage realistisch einzuschätzen.

„So ging ein Unternehmen von einem jährlichen Wachstum seiner äußeren Cyber-Angriffsfläche von drei Prozent aus, tatsächlich waren es 20 Prozent.“ Erschwert würden der Überblick und ein effektives Risikomanagement außerdem mit der Anzahl angegliederter Tochtergesellschaften:

„So fand eine frühere Studie von CyCognito heraus, dass 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über ,Assets’ in Unterorganisationen entstehen.“

Individuellen Kontext beachten: Vor allem Web-Apps für Angreifer lohnendes Ziel

Um ein Risikomanagement der externen Cyber-Angriffsfläche auch unter komplexen Voraussetzungen möglichst effizient betreiben zu können, soll die Studie „CI(S)Os“ einige Empfehlungen an die Hand geben. So sollten Security-Teams nicht nur besonders gefährdete „Assets“ priorisieren, sondern untersuchen, welche bekannten Sicherheitslücken im unternehmenseigenen Kontext möglicherweise gar nicht so schwer wiegen – und die betroffenen „Assets“ entsprechend depriorisieren. Denn nicht immer seien die von offiziellen Standards wie CVSS bewerteten Schwachstellen für die eigene Organisation tatsächlich so gravierend, wie der offizielle Score vermuten lasse.

Der „State of External Exposure Management Report“ zeigt laut CyCognito: „Von den ,Assets’, die in einen Kontext gesetzt wurden, der unter anderem auch Verhaltensmuster von Angreifern berücksichtigt, konnten 35 Prozent trotz eines hohen CVSS-Scores als weniger kritisch eingestuft werden.“ Eine klare Priorisierung helfe Unternehmen, mit ihren begrenzten IT-Sicherheitsressourcen hauszuhalten und ihre individuell bedeutendsten Schwachstellen zuerst schließen zu können.

„Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung“, betont Dr. Georg Hess, „Regional Sales Director“ bei CyCognito, in seiner Stellungnahme. Er warnt: „Vor allem Web-Apps sind für Angreifer ein lohnendes und oftmals einfach auszunutzendes Ziel.“ Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, welche mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.

Weitere Informationen zum Thema:

CYCOGNITO
Web Apps are Leaving PII Exposed
State of External Exposure Management Report