Security-Audit von Kaspersky Lab und Outpost24

Anfällig für Exploits und Social Engineering

| Redakteur: Stephan Augsten

Unternehmen müssen sowohl technischen als auch menschlichen Schwachstellen Einhalt gebieten.
Unternehmen müssen sowohl technischen als auch menschlichen Schwachstellen Einhalt gebieten. (Bild: alphaspirit - Fotolia.com)

Die Zahl der Zero-Day-Exploits wächst, doch Angriffe auf Firmennetze können auch über bekannte Schwachstellen erfolgreich sein. Bei einem Security-Audit haben Kaspersky Lab und Outpost24 herausgefunden, dass Unternehmen durchschnittlich 60 bis 70 Tage benötigen, um Sicherheitslücken zu schließen.

Sicherheitsexperten von Kaspersky Lab und Outpost24 haben verschiedene europäischen Unternehmen und öffentliche Einrichtungen einem Sicherheitsaudit unterzogen. Dabei stellte sich heraus, dass etliche Organisationen die Patches für bekannte Sicherheitslücken noch nicht ausgerollt hatten.

In der Regel dauert es drei Monate, bis eine kritische Anfälligkeit wirklich beseitigt wird. Gut drei Viertel der Schwachstellen, die nicht in diesem Zeitraum behoben werden, lassen sich allerdings auch nach über einem Jahr noch nachweisen.

Bei ihrem Audit haben Kaspersky Lab und Outpost24 sogar Sicherheitslücken gefunden, die bereits seit zehn Jahren bekannt sind. Dies ist insbesondere vor dem Hintergrund interessant, dass viele der Unternehmen den Sicherheitsstatus ihrer Systeme mit speziellen Monitoring-Tools und -Services überwachen.

Schwachstelle Mensch

Doch nicht nur auf technischer, auch auf menschlicher Ebene lauern Gefahren. David Jacoby, Senior Security Researcher bei Kaspersky Lab, entschied sich deshalb für ein Social-Engineering-Experiment. Mit einem USB-Stick “bewaffnet” begab er sich in Hotels, Unternehmen sowie Behörden und bat Angestellte darum, ihm ein PDF-Dokument auszudrucken.

Von den drei überprüften Hotels erlaubte nur eines, den fremden USB-Stick anzuschließen. Auch die Mitarbeiter der privatwirtschaftlich geführten Unternehmen zeigten sich sehr vorsichtig. Am wenigsten waren die Mitarbeiter der sechs getesteten Behörden für derartiges Social Engineering sensibilisiert.

In vier der staatlichen Einrichtungen durfte Jacoby seinen USB-Stick anschließen, in zwei dieser Behörden waren die USB-Ports gesperrt. Doch die Angestellten zeigten sträfliches Vertrauen: Sie empfahlen Jacoby, das PDF-Dokument per E-Mail weiterzuleiten – und eröffneten ihm damit sogar noch bessere Möglichkeiten, Malware einzuschleusen.

Es reicht nicht also, das Hauptaugenmerk auf Sicherheitslücken zu legen, unterstreicht David Jacoby: "Es ist mindestens genauso wichtig, seine Mitarbeiter für aktuelle Sicherheitsrisiken zu sensibilisieren und dafür zu schulen.“ Weitere Erkenntnisse aus dem Report finden sich im Kaspersky-Blog Securelist.com.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42327985 / Sicherheitslücken)