:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Berühmt und berüchtigt Wie gefährlich sind Zero-Day-Schwachstellen?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/3800/3892/65.jpg "Trend Micro_Logo.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
2021 wurden mehr neue Schwachstellen entdeckt als je zuvor. Zero-Day-Schwachstellen sind gefürchtet, da sie leicht angreifbar sind, solange es keinen Patch für sie gibt. Die gestiegene Erkennungsrate hat aber auch positive Aspekte. Was bedeutet das für Unternehmen?
Jahr für Jahr steigt die Zahl der neu entdeckten Schwachstellen. 2021 wurden insgesamt mehr als 20.000 Vulnerabilities mit CVEs (Common Vulnerabilities and Exposures) gefunden. In einer aktuellen Studie des Analystenhauses Omdia, welche sich auf von elf Organisationen offengelegten Schwachstellen konzentriert, beherrscht Trend Micros Zero Day Initiative mit einer Ersterkennung von 64 Prozent das Ranking vor Unternehmen wie Cisco, Google oder Microsoft. Das sind knapp 10 Prozent mehr als im Vorjahr. Auf den ersten Blick wirkt das erschreckend. Doch die höhere Ersterkennungsrate bedeutet nicht, dass Soft- und Firmware-Code unsicherer geworden ist. Vielmehr ist sie ein Indikator für den Erfolg von Monitoring-Technologien und Sicherheitsforschern. Denn je mehr Schwachstellen entdeckt werden, desto früher kann man sie schließen und umso geringer ist die Gefahr für einen erfolgreichen Cyberangriff.
Fakt ist: In jeder Software und in jedem IT-System können Schwachstellen auftreten, auch wenn man noch so sorgfältig arbeitet. Die Frage ist nur: Wer entdeckt sie zuerst? Cyberkriminelle und Sicherheitsforscher liefern sich hier einen ständigen Wettlauf. Gewinnen die einen, entwickeln sie Zero-Day-Exploits, um die Schwachstelle auszunutzen. Solche Angriffe sind gefürchtet, weil sie dort ansetzen, wo Unternehmen am verletzlichsten sind. Denn eine Zero-Day-Schwachstelle ist wie eine offene Wunde, für die es noch kein Pflaster gibt. Bis Hersteller den passenden Patch entwickelt und Unternehmen ihn eingespielt haben, können Wochen oder gar Monate vergehen. Oft mit gravierenden Folgen, wie wir am Beispiel von Log4Shell gesehen haben. Doch auch Sicherheitsforscher und Security-Technologien werden immer besser – wie die Omdia-Studie zeigt.
Mit Preisgeldern auf Schwachstellen-Jagd
Wie funktioniert eigentlich die Schwachstellenforschung und wer verbirgt sich dahinter? Sowohl Software- und Security-Anbieter als auch Regierungsorganisationen und unabhängige Experten engagieren sich auf diesem Gebiet. Mit Reverse Engineering, Source-Code-Analysen, Fuzzing und vielen anderen Techniken versuchen sie, potenzielle Sicherheitslücken in Software aufzudecken. Außerdem veranstalten sie Hacking-Wettbewerbe und betreiben sogenannte Bug Bounty-Programme: Sie zahlen Preisgelder für neu gemeldete Schwachstellen. Auf diese Weise will man finanzielle Anreize setzen, damit Hacker ihre Entdeckungen an die Security-Branche statt an böswillige Akteure verkaufen. Das weltweit größte Bug Bounty-Programm ist die Trend Micro Zero Day Initiative (ZDI). Mehr als 10.000 unabhängige Sicherheitsforscher engagieren sich darin. Laut der Omdia-Studie gehen 64 Prozent der Erstentdeckungen im Jahr 2021 auf das Konto der ZDI. Damit ist sie führend im Ranking und liegt unter anderem vor Cisco, Google, Microsoft und dem US CERT/CC.
Es geht ums Geschäft
Beobachtungen im Untergrund zeigen, dass Bug Bounty-Programme ein erfolgreiches Konzept sind. Denn abgesehen von einer geringen Quote an politisch motivierten Aktivitäten geht es für Cyberkriminelle in erster Linie ums Geschäft. Zero Day Exploits sind zwar wertvoll und werden im Darknet für 10.000 Dollar oder mehr gehandelt. Aber es ist gar nicht so einfach, einen Abnehmer zu finden, der diesen Preis auch zahlt. Warum sollte man sich in hohe Unkosten stürzen, wenn man eine ältere, noch immer gut funktionierende Schwachstelle und zugehörige Tools für einen Bruchteil oder sogar kostenlos erwerben kann? Sicherheitsforscher von Trend Micro entdeckten in einschlägigen Foren zum Beispiel JavaScript Exploits für 40 Dollar oder Microsoft Word Exploits für 100 Dollar. Neben den rein logistischen Herausforderungen sollte auch der moralische Effekt nicht unberücksichtigt bleiben. Denn der Untergrundmarkt kann einen Hacker unbeabsichtigt zu einem Mittäter im Bereich Cyberkriminalität machen. Der Verkauf an durch die von Omdia untersuchten Unternehmen garantiert dagegen nicht nur eine entsprechende Entlohnung der Aufwände, sondern auch eine Schließung der Lücke im Rahmen der „verantwortungsvollen Offenlegung“ (responsible disclosure). Für die Meldung einer kritischen Schwachstelle bwerden Preise von mehr als 200.000 US-Dollar bezahlt. Die ZDI hat seit ihrer Gründung im Jahr 2005 über 30 Millionen Dollar an Preisgeld gezahlt. Es dürfte nicht zuletzt ein Verdienst solcher Initiativen sein, dass die Zahl der Zero-Day-Angebote im Untergrund in den vergangenen Jahren kontinuierlich zurückgegangen ist. Ein Grund zur Entwarnung ist das aber nicht.
Zero Day-Schwachstellen sind nicht unbedingt die gefährlichsten
Tatsächlich erfolgen die meisten Cyberattacken nicht über kritische Zero-Days, sondern über ältere, weniger schwerwiegend eingestufte Sicherheitslücken. Das hat einen ganz praktischen Grund: Sie sind einfacher und kostengünstiger anzugreifen. Häufig gibt es für sie sogar Ransomware-as-a-Service-Angebote, die es ermöglichen, mit minimalem Eigenaufwand Lösegeld zu erpressen. Cyberkriminelle wissen, dass solche Schwachstellen beim Patching oft hintenanstehen und dadurch mitunter über Jahre hinweg offen bleiben. Denn Patches einzuspielen ist aufwändig, und IT-Teams müssen genau überlegen, wo sie ihre knappe Arbeitszeit einsetzen. In der Regel werden dann Sicherheitslücken bevorzugt, die auf der CVSS-Skala (Common Vulnerability Scoring System) als kritisch eingestuft wurden. Diese ermöglichen zum Beispiel unbefugten Zugriff auf Root-Ebene, unbefugte Änderung und Offenlegung von Daten oder können zu Denial of Service (DoS) führen. Allerdings fallen nur etwa neun Prozent der 2021 gemeldeten Schwachstellen Studie in diese Kategorie. Der Großteil (67 Prozent) trägt den zweithöchsten Schweregrad „hoch“. Zwar müssen erst bestimmte Voraussetzungen erfüllt sein, damit man sie ausnutzen kann, deswegen sind sie jedoch nicht minder gefährlich. Gerade bei Ransomware-Akteuren sind solche Schwachstellen besonders beliebt.
Risikobewertung muss individuell erfolgen
Welches Risiko tatsächlich von einer Schwachstelle ausgeht, muss jedes Unternehmen individuell für sich selbst bewerten. Dabei gilt es, sowohl umfassende interne als auch externe Security-Informationen zu sammeln, zu analysieren und in Relation zu betrachten. In welchen Systemen tritt die Sicherheitslücke auf und welche Geschäftsprozesse sind davon betroffen? Wie hoch ist die Wahrscheinlichkeit, dass sie ausgenutzt wird, und welche Auswirkungen hätte das im Ernstfall? Wären etwa Kunden oder Lieferketten beeinträchtigt? Zu den externen Informationen, die man einbeziehen muss, zählt neben der CVSS-Bewertung auch aktuelle, globale Threat Intelligence. Wichtige Fragen sind zum Beispiel, welche cyberkriminellen Gruppierungen gerade aktiv sind, wie sie vorgehen und welche Schwachstellen sie ausnutzen. Eine als hoch eingestufte ältere Sicherheitslücke, die derzeit häufig angegriffen wird, kann gefährlicher sein als eine kritische, auf der nichts passiert. Da sich solche Faktoren aber schnell ändern können, muss Risikobewertung in einem kontinuierlichen Prozess stattfinden. Eine wertvolle Unterstützung bietet dabei eine zentrale XDR-basierte Threat Defense Plattform, die sowohl interne als auch externe Security-Informationen sammelt, KI-gestützt auswertet und einen übersichtlichen, individuellen Risk Score errechnet. So sehen Security-Teams auf einen Blick, wo die höchsten Risiken liegen und welche Schwachstellen sie priorisieren müssen.
Der Wettlauf wird härter
Als kritisch eingestufte Zero-Day-Schwachstellen können am gefährlichsten sein, müssen es aber nicht. Dies gilt es immer im Einzelfall abzuwägen. XDR (Extended Detection und Response) und umfassende Threat Intelligence Services erleichtern es dabei erheblich, schnell die richtigen Entscheidungen zu treffen. Unterstützung bei der Risikominderung bietet zudem eine IPS-Lösung, die Virtual Patching einsetzt. Diese Technologie deckt Sicherheitslücken automatisiert auf Netzwerkebene ab, sodass sie für Hacker von außen nicht mehr ausnutzbar sind. Solche virtuellen Patches stehen oft früher zur Verfügung als Hersteller-Patches.
Sowohl in der Risikopriorisierung und -reduzierung als auch in der Angriffserkennung zählt heute Geschwindigkeit. Denn dass Sicherheitsforscher Schwachstellen früher entdecken und veröffentlichen, ist zwar einerseits ein gutes Zeichen. Andererseits verkleinert es auch das Zeitfenster für Cyberkriminelle. Das wiederum bedeutet: Professionelle Hacker werden Zero-Day-Schwachstellen künftig noch schneller ausnutzen. Der Wettlauf wird also immer härter.
Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.
(ID:48732994)
:quality(80)/p7i.vogel.de/wcms/3a/08/3a081bd4f33c243420f341a3aa4864ad/0111184343.jpeg "Risikobasiertes Vulnerability Management mit Outscan NX hilft bei der gezielten Behebung von Schwachstellen. (Bild: ArtemisDiana / iStock)")
:quality(80)/p7i.vogel.de/wcms/bd/b1/bdb1c5f7bae6e974a52cec40dd4b970a/0109497915.jpeg "Rückblick auf 2022: Check Point verzeichnet einen Anstieg von 27 Prozent bei Cyberangriffen in Deutschland. Bestimmte Sektoren stechen in der Statistik besonders hervor. (Bild: Andrey Popov - stock.adobe.com)")