Über 400'000 kritische Schwachstellen im Schweizer Cyberspace

Eine Untersuchung des Schweizer Cyberspace förderte umfassenden Optimierungsbedarf zu Tage. Laut den jetzt veröffentlichten Ergebnissen haben Forscher des Berner Unternehmens Dreamlab Technologies bei ihrem Scan 2,5 Millionen potenzielle Schwachstellen entdeckt. 421'735 davon stuften sie als kritisch ein, also mit einem CVSS-Score von 9.0 oder höher. Weitere 727'557 der Sicherheitslücken gehen immerhin mit einem hohen Risiko einher (CVSS-Score 7.0 bis 8.9). Zusammengerechnet entspricht das rund 45 Prozent der gefundenen Schwachstellen. Darunter befanden sich laut Dreamlab unter anderem nicht mehr unterstützte Betriebssysteme mit dokumentierten Sicherheitslücken, nicht aktualisierte Firewalls, ungeschützte Datenbanken, angreifbare Webseiten (auf welchen beispielsweise die Passwörter von Benutzern gestohlen werden können), angeschlossene industrielle Geräte (mit Schwachstellen und in vielen Fällen ohne vorgeschaltete Firewalls) und FTP-Server.


Interessantes Ergebnis der Studie ist zudem, dass sich lediglich 18,9 Prozent der aktiven Domains im Schweizer IP-Bereich befinden, 81,1 Prozent wiederum ausserhalb des Schweizer Cyberspace. Bei den DNS-Servern sind es hingegen nur 13,4 Prozent. 86,6 Prozent befinden sich ausserhalb der Schweiz, liefern aber 50,9 Prozent der hiesigen DNS-Dienste.

Im Schweizer Cyberspace wurden laut Dreamlab zudem 604 aktive Domains beziehungsweise 439 aktive IP4-Adressen der Schweizer Bundesverwaltung (admin.ch) identifiziert. Der Scan zeigte 781 potenzielle Verwundbarkeiten, wovon 18 Prozent als kritisch und 25 Prozent als hoch eingeschätzt werden. Die meisten kritischen Schwachstellen in der Internet-Infrastruktur der Schweizer Bundesverwaltung sind demnach veraltete Versionen von OpenSSH und Apache HTTPD.


Bei der Vorstellung der Ergebnisse auf den Swiss Cyber Security Days unterstrichen Nicolas Mayencourt, CEO von Dreamlab, und Professor Marc K. Peter, Co-Autor der Studie, dass die Schweiz viel Potenzial habe, die Basis-Cyberhygiene im nationalen Cyberraum zu optimieren. Die öffentliche Diskussion zur nationalen Cybersicherheit sei zudem der Startpunkt für eine nationale Cybersicherheitsstrategie. (sta)