Der Cyber Risk Report von HP Security Research zeigt, dass 2014 vor allem längst bekannte Schadprogramme und Sicherheitslücken Gefahren für Unternehmen darstellten. So nutzten 44 Prozent der erfolgreichen Angreifer Sicherheitslücken aus, die seit zwei bis vier Jahren bekannt sind – und zwar mit altbekannten Methoden. Die grösste Schwachstelle stellten dabei falsche Serverkonfigurationen dar – erst danach kamen unsichere Datenschutz- und Cookie-Einstellungen.
Aus dem Report geht auch hervor, dass mobile Geräte häufiger als noch ein Jahr zuvor angegriffen wurden und dass zusätzliche Angriffsflächen durch die Vernetzung von Geräten entstanden sind; Stichwort Internet der Dinge. Die kontinuierliche Ausweitung der Anwendungsbereiche von IT ermöglicht Hackern, immer mehr Schwachstellen zu finden. Was Software betrifft, gehen die meisten Sicherheitslücken derweil auf eine recht kleine Anzahl von Programmierfehlern zurück.
"Wir dürfen die grundlegenden Sicherheitslücken nicht aus den Augen verlieren", erläutert Art Gilliland, Senior Vice President und General Manager für Enterprise Security Products bei
HP. "Vielmehr sollten Unternehmen bewährte Sicherheitstaktiken anwenden, um bekannte Sicherheitslücken zu schliessen. Damit lässt sich ein Grossteil der Risiken vermeiden." Im Report werden ausserdem die Empfehlungen ausgesprochen, die Systeme mit dem immer neuesten Sicherheitsschutz zu versehen, sich in der Branche über Risiken und Angriffsformen auszutauschen und regelmässig Penetrationstests und Verifizierungen von Konfigurationen durchzuführen, damit IT-Verantwortliche Fehler erkennen können, bevor die Angreifer sie ausnutzen können. Die Annahme, dass jedes System Schwachstellen hat, sollte Grundlage der komplementären Schutzstrategien sein, wobei es keine Patentlösung gäbe. Sicherheitsexperten können allerdings umfassende Sicherheitstaktiken implementieren und diese regelmässig aktualisieren, heisst es weiter.
HP Security Research veröffentlicht den Cyber Risk Report jedes Jahr mit Analysen zu den Sicherheitsrisiken des vergangenen Jahres und mit Empfehlungen für das laufende Jahr. Grundlage sind verschiedene interne und externe Quellen, darunter die HP Zero Day Initiative, Sicherheitsanalysen von HP Fortify on Demand, HP Fortify Software Security Research und Reversing Labs. Der vollständige Bericht kann auf der
HP-Website heruntergeladen werden.
(aks)
