Analyse: Viele Sicherheitslücken in Unternehmensnetzwerken

Heute noch ein Blog-Beitrag, der sich mehr auf Firmen, deren Netzwerke und die zuständigen Administratoren bezieht. Eine im Frühjahr 2016 durch die finnischen Cyber-Security-Spezialisten von F-Secure durchgeführte Untersuchung von Firmennetzwerken identifizierte tausende von schwerwiegenden Sicherheitslücken, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen verschaffen hätten können.


Anzeige

Die Analyse wurde mittels F-Secure Radar, einer Vulnerability Scanning- und Managementlösung für Software-Schwachstellen von F-Secure, durchgeführt. In fast 85.000 Fällen boten vor allem falsch konfigurierte Systeme und ungepatchte Software Angreifern die Möglichkeit, das Unternehmensnetzwerk zu infiltrieren.

Laut der F-Secure-Analyse ein klarer Hinweis, dass viele Unternehmen über keinen ausreichenden Überblick ihrer Netzwerke verfügen. Auf jeden Fall ist das Ergebnis der Untersuchung besorgniserregend. Die im Rahmen der Untersuchung hundert häufigsten in Firmennetzwerken erkannten Schwachstellen, konnten insgesamt in fast 85.000 Fällen nachgewiesen werden. In etwa sieben Prozent dieser Fälle ist die Sicherheitsschwäche – laut den Richtlinien der National Vulnerability Database – als „schwerwiegend" einzustufen. Fast die Hälfte dieser schwerwiegenden Sicherheitslücken waren ausnutzbar und könnten es Angreifern erlauben, durch die Ausführung von Remote-Code die Kontrolle über infiltrierte Systeme zu erlangen. Und fast alle dieser ausnutzbaren Schwachstellen wären durch die richtigen Software-Patches oder ganz simple administrative Änderungen leicht zu beheben.

Laut dem amerikanischen Computer Emergency Readiness Team könnten mit einigen, unkomplizierten Schritten, wie dem Patchen anfälliger Software, bis zu 85 Prozent gezielter Cyber-Attacken verhindert werden.

Jede Sicherheitslücke ist ein Paradies für Hacker

Während die Untersuchung tausende von schwerwiegenden Schwachstellen ausfindig machen konnte, stellten sich falsch konfigurierte Systeme als weitaus häufigeres Problem heraus. Die zehn meist erkannten Sicherheitsschwächen waren von niedriger oder mittlerer Schwere, machten aber 61 Prozent aller identifizierten Schwachstellen aus. Und obwohl diese Probleme nicht dieselbe Gefahr wie Hochrisiko-Sicherheitslücken darstellen, ermutigen sie Hacker, das Netzwerk weiter zu testen und nach anderen Schwächen zu suchen.


Anzeige

Über viele dieser Schwachstellen kann man einfach nur durch bloßes Surfen im Web stolpern. Und selbst wenn ein Hacker keinen Angriff geplant hatte, die Versuchung, dieser „Einladung" zu folgen und zu schauen, was passiert, ist groß. Im besten Fall können sich Unternehmen über eine informative Email freuen, die sie über das Problem unterrichtet. Im schlimmsten Fall sind Cyber-Kriminelle bereits dabei, erste Aufklärungen in Vorbereitung eines gezielten Angriffs durchzuführen.

Das Ergebnis ist vor allem im Hinblick auf den Umstand, dass das Internet of Things (IoT) und Industrie 4.0 lauthals von IT-Anbietern propagiert wird, äußerst brisant. Oder anders ausgedrückt: Die Unternehmen rauschen sehenden Auges in ein Desaster. Das Ergebnis der F-Secure-Analyse unterstreicht dabei ein weiteres Mal die oft angemahnte Bedeutung grundlegender Sicherheitsmaßnahmen und deren gewissenhafte Umsetzung.

Schwachstellenanalyse im Firmennetzwerk essenziell für Prävention

Natürlich führt F-Secure eine solche Analyse nicht als Selbstzweck aus, sondern möchte auf seine Sicherheitsprodukte hinweisen. Der Hersteller F-Secure bietet F-Secure Radar (eine nach dem PCI Security Standards Council zugelassenen Approved Scanning Vendor zertifizierte Software-Lösung) zur Erkennung von Schwachstellen an. Sie ermöglicht Firmen einen vollständigen Überblick ihres Netzwerks und identifiziert alle Sicherheitslücken, über die Angreifer in Systeme eindringen könnten. Für eine umfassende Netzwerkanalyse verfügt F-Secure Radar über verschiedene Scan-Optionen und stuft erkannte Sicherheitslücken automatisch nach ihrem Risikograd ein. Mit Hilfe der Scans können sich Unternehmen eine Übersicht all der in ihr Netzwerk integrierten Systeme verschaffen, ihre Web-Applikationen – und selbst maßgeschneiderte, auf individuelle Netzwerke und Infrastruktur abgestimmte APIs – überprüfen und veraltete, nicht gepatchte oder falsch konfigurierte Teile ihres Netzwerks identifizieren.

FSecure Radar

Unternehmen können F-Secure Radar entweder als selbst-verwaltetes Lizenzprodukt erwerben oder sich für den von F-Secure angebotenen Service entscheiden. Zusätzlich zu den in vereinbarten Abständen durchgeführten Netzwerkscans, bietet der Service außerdem weitere Unterstützung in Form von ausführlicher Reports und Expertenberatung beim Eliminieren und Minimieren von Sicherheitsschwachstellen. F-Secure Radar bietet sich vor allem für mittlere bis große Unternehmen an und wird in Deutschland in Kürze verfügbar.


Anzeige

Dieser Beitrag wurde unter Netzwerk, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Analyse: Viele Sicherheitslücken in Unternehmensnetzwerken

  1. deo sagt:

    "Never change a running system" ist da wohl Programm.
    siehe :D

  2. AH sagt:

    "…oder ganz simple administrative Änderungen leicht zu beheben."
    Na, da hätte F-Secure ja ruhig mal den ein oder anderen Tipp ausspucken können.
    Scheinbar geht's denen nahezu ausschließlich um die Platzierung ihres Produktes.

    • Na ja, es sind eine Menge Konfigurationsfehler denkbar – von der Firewall-Konfigurierung über veraltete Router-Firmware oder fehlerhaft gesetzte Zugriffsberechtigungen auf Freigaben (alle sind Administrator oder haben Vollzugriff) bis hin zum Patch-Management von Servern bzw. Clients. Im Kontext des Artikels ging es ja nicht um die Frage, welche Sicherheitslücken es gibt – sondern dass die Praxis deutlich zeigt, dass da draußen im Feld das Ganze arg im Argen liegt.

      Und darum ging es mir im Blog-Beitrag – speziell, da wir ja immer hören, wie toll IoT und Industrie 4.0 wird und man das in Firmen unbedingt einführen muss. Der Blog-Beitrag richtet sich daher auch an Firmen-Administratoren. Und die müssen ihre Hausaufgaben selbst machen – entweder mit F-Secure als Dienstleistung oder mit einem anderen Anbieter. Da kann man F-Secure keinen Vorwurf machen, dass die in der Pressemitteilung keine ultimativen Tipps geben, was nun scheitert. Das müsste ich mir höchstens als Blogger schon ans Bein heften – was ich aber (angesichts des Kontext) nicht tue …

  3. Herr IngoW sagt:

    Mit der Sicherheit ist es bei Firmen nicht so einfach, erstens, das Sicherheitsproblem sitzt ja oft ungeschult vor dem PC, zweitens ist IT-Sicherheit nicht umsonst (die Firmen oder die Mitarbeiter der IT-Abteilung (wenn vorhanden) auch nicht. Aber viele Firmen sind so auf sparen Fokussiert das für die IT kaum etwas übrig bleibt. Da wird dann gern mal mit uralten Betriebssystemen und Programmen gearbeitet und Updates?, Fehlanzeige (werden oft abgeschaltet oder weggeklickt, nervt ja).
    Das große jammern geht erst los wenn es zu spät ist und wird dann auf die IT-Firmen bzw. auf die Administratoren geschoben die es dann ausbaden müssen, aber es darf nichts kosten!
    Und privat Surfen hat in der Firma nichts zu suche!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.