Suchen

Security-Audit von Kaspersky Lab und Outpost24 Anfällig für Exploits und Social Engineering

Redakteur: Stephan Augsten

Die Zahl der Zero-Day-Exploits wächst, doch Angriffe auf Firmennetze können auch über bekannte Schwachstellen erfolgreich sein. Bei einem Security-Audit haben Kaspersky Lab und Outpost24 herausgefunden, dass Unternehmen durchschnittlich 60 bis 70 Tage benötigen, um Sicherheitslücken zu schließen.

Firmen zum Thema

Unternehmen müssen sowohl technischen als auch menschlichen Schwachstellen Einhalt gebieten.
Unternehmen müssen sowohl technischen als auch menschlichen Schwachstellen Einhalt gebieten.
(Bild: alphaspirit - Fotolia.com)

Sicherheitsexperten von Kaspersky Lab und Outpost24 haben verschiedene europäischen Unternehmen und öffentliche Einrichtungen einem Sicherheitsaudit unterzogen. Dabei stellte sich heraus, dass etliche Organisationen die Patches für bekannte Sicherheitslücken noch nicht ausgerollt hatten.

In der Regel dauert es drei Monate, bis eine kritische Anfälligkeit wirklich beseitigt wird. Gut drei Viertel der Schwachstellen, die nicht in diesem Zeitraum behoben werden, lassen sich allerdings auch nach über einem Jahr noch nachweisen.

Bei ihrem Audit haben Kaspersky Lab und Outpost24 sogar Sicherheitslücken gefunden, die bereits seit zehn Jahren bekannt sind. Dies ist insbesondere vor dem Hintergrund interessant, dass viele der Unternehmen den Sicherheitsstatus ihrer Systeme mit speziellen Monitoring-Tools und -Services überwachen.

Schwachstelle Mensch

Doch nicht nur auf technischer, auch auf menschlicher Ebene lauern Gefahren. David Jacoby, Senior Security Researcher bei Kaspersky Lab, entschied sich deshalb für ein Social-Engineering-Experiment. Mit einem USB-Stick “bewaffnet” begab er sich in Hotels, Unternehmen sowie Behörden und bat Angestellte darum, ihm ein PDF-Dokument auszudrucken.

Von den drei überprüften Hotels erlaubte nur eines, den fremden USB-Stick anzuschließen. Auch die Mitarbeiter der privatwirtschaftlich geführten Unternehmen zeigten sich sehr vorsichtig. Am wenigsten waren die Mitarbeiter der sechs getesteten Behörden für derartiges Social Engineering sensibilisiert.

In vier der staatlichen Einrichtungen durfte Jacoby seinen USB-Stick anschließen, in zwei dieser Behörden waren die USB-Ports gesperrt. Doch die Angestellten zeigten sträfliches Vertrauen: Sie empfahlen Jacoby, das PDF-Dokument per E-Mail weiterzuleiten – und eröffneten ihm damit sogar noch bessere Möglichkeiten, Malware einzuschleusen.

Es reicht nicht also, das Hauptaugenmerk auf Sicherheitslücken zu legen, unterstreicht David Jacoby: "Es ist mindestens genauso wichtig, seine Mitarbeiter für aktuelle Sicherheitsrisiken zu sensibilisieren und dafür zu schulen.“ Weitere Erkenntnisse aus dem Report finden sich im Kaspersky-Blog Securelist.com.

(ID:42327985)