HP Cyber Risk Report 2013 beleuchtet Schwachstellen

Gut vier von fünf Anwendungen mit Sicherheitslücken

| Redakteur: Stephan Augsten

HP hat verschiedene Schwachstellen im IT-Gerüst von Großunternehmen ausfindig gemacht.
HP hat verschiedene Schwachstellen im IT-Gerüst von Großunternehmen ausfindig gemacht. (Bild: psdesign1 - Fotolia.com)

Unternehmen bieten seit 2013 mehr Angriffsflächen nach außen, als jemals zuvor, behaupten die Forscher von HP Security Research. Dazu hätten mobile Geräte sowie Java und andere unsichere Software beigetragen. Gut 80 Prozent aller untersuchten Anwendungen enthielten wenigstens eine Schwachstelle.

Für den Cyber Risk Report 2013 hat HP Security Research die größten Schwachstellen in den IT-Umgebungen von Großunternehmen analysiert. Obwohl der gezielten Suche nach Software-Sicherheitslücken im vergangenen Jahr große Beachtung zuteil wurde, verringerte sich die Zahl der öffentlich bekannt gewordenen Schwachstellen im Vergleich zum Vorjahr um sechs Prozent.

Die Zahl der kritischen Schwachstellen nahm um neun Prozent ab, laut HP der vierte Rückgang in Folge. Gut 80 Prozent aller im Bericht untersuchten Anwendungen enthielten wenigstens eine Schwachstelle, die nicht direkt auf den Quellcode zurückzuführen war. HP nennt als Beispiele fehlerhafte Server-Konfigurationen und Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien.

Am häufigsten prüften die Forscher der HP Zero Day Initiative (ZDI) den Internet Explorer von Microsoft. Dabei deckten gut 50 Prozent der bis dato unbekannten Schwachstellen des Browsers auf. Einen aussagekräftigen Vergleich zur Sicherheit anderer Browser könne HP allerdings nicht ziehen, da sich die ZDI-Experten aufgrund der Marktdurchdringung vor allem auf Schwachstellen in Microsoft-Anwendungen konzentrieren.

Java-Nutzer müssen sich laut der HP-Studie insbesondere davor fürchten, dass Angreifer die Sandbox der Java-Laufzeitumgebung umgehen (Sandbox Bypass). Dabei nutzen sie meist gleichzeitig etablierte Angriffstechniken und Zero-Day-Exploits.

Bei den mobilen Anwendungen moniert HP in 46 Prozent der Fälle Mängel bei der Verschlüsselung. Die Entwickler verzichten entweder ganz auf entsprechende Mechanismen oder sie implementieren die Verschlüsselung nicht richtig. Viele Entwickler nutzten demnach schwache Algorithmen oder setzen starke Algorithmen so fehlerhaft ein, dass diese unnütz werden.

Wie HP bei der Schwachstellen-Analyse genau vorgeht, ist im Cyber Risk Report 2013 selbst beschrieben. Der Bericht erscheint seit 2009 jährlich und basiert auf internen und externen Datenquellen. Hierzu zählen unter anderem die HP Zero Day Initiative, HP Fortify on Demand, HP Fortify Software Security Research, Reversing Labs und die National Vulnerability Database.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42514978 / Schwachstellen-Management)