Home » News » Security Management » Studie zeigt erhebliches Risiko für Unternehmen

Webanwendungen im Fokus:: Studie zeigt erhebliches Risiko für Unternehmen

Webanwendungen sind das schwächste Glied in der externen Cyber-Angriffsfläche von Unternehmen, wie aus dem aktuellen State of External Exposure Management Report hervorgeht. Trotz ihrer kritischen Rolle sind sie oft unzureichend geschützt, was eine erhebliche Gefahr für die Sicherheit darstellt.

2 Min. Lesezeit
Eine Hand hält eine Lupe über den Schriftzug „SICHERHEITSLÜCKE“ auf blauem Grund und spiegelt damit das Thema Cybersicherheitslücken wider. Um den Schriftzug herum sind weiße Vorhängeschloss-Symbole angebracht, die auf die Risiken für Unternehmen hinweisen, wie sie in aktuellen Studien zu Webanwendungen im Fokus detailliert beschrieben werden.
Foto: ©AdobeStock/Cagkan

CyCognito, ein führender Anbieter im Bereich External Attack Surface Risk Management (EASM), hat in seiner kürzlich veröffentlichten Studie, die zwischen Juni 2022 und Mai 2023 durchgeführt wurde, die Sicherheitslage von 3,5 Millionen über das Internet erreichbaren Assets, darunter Zertifikate, Domänen, Webserver, API-Endpunkte und Web-Apps, eingehend untersucht. Die Ergebnisse der Studie sind alarmierend und verdeutlichen die wachsende Gefahr von Sicherheitsverletzungen in der digitalen Landschaft von Unternehmen.

Insbesondere zeigt die Studie, dass 70 Prozent der überprüften Assets eklatante Sicherheitslücken aufwiesen. Besonders besorgniserregend ist, dass fast drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mailadressen, Kontodaten oder Passnummern verarbeiten, mindestens einer gefährlichen und öffentlich bekannten, aber bisher unbehobenen Schwachstelle ausgesetzt waren. In einigen Fällen enthielten zehn Prozent dieser Apps sogar Schwachstellen, die für Angreifer leicht ausnutzbar sind.

Die Studie hebt auch eklatante Mängel im Schutz dieser Webanwendungen hervor. Ein Drittel der untersuchten Web-Apps nutzte für die Kommunikation nicht das HTTPS-Protokoll, 70 Prozent waren nicht von einer Web Application Firewall (WAF) geschützt, und 25 Prozent verwendeten weder HTTPS noch eine WAF.

Externe Angriffsfläche schwer zu managen

Die äußere Cyber-Angriffsfläche von Unternehmen, die durch mit dem Internet verbundene Assets entsteht, ist dynamisch und unterliegt ständigen Änderungen. Unternehmen haben Schwierigkeiten, den Überblick zu behalten, insbesondere angesichts einer Fluktuation aktiver und genutzter Assets von etwa zehn Prozent im Monat. Eine herausfordernde Aufgabe wird dies auch durch die Anzahl angegliederter Tochtergesellschaften: Wie eine frühere Studie von CyCognito herausfand, entstehen 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über Assets in Unterorganisationen.

Um ein effektives Risikomanagement für die externe Cyber-Angriffsfläche zu gewährleisten, empfiehlt die Studie, nicht nur besonders gefährdete Assets zu priorisieren, sondern auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen vorzunehmen. Diese sollte nicht ausschließlich auf allgemeinen Bewertungssystemen wie dem Common Vulnerability Scoring System (CVSS) basieren, da nicht jede Sicherheitslücke für jedes Unternehmen die gleiche Gefahr birgt.

Dr. Georg Hess, Regional Sales Director bei CyCognito, unterstreicht die Bedeutung eines umfassenden Ansatzes: „Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung. Vor allem Web-Apps sind für Angreifer ein lohnendes und oft einfach auszunutzendes Ziel. Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, die mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.“

Der gesamte State of External Exposure Management Report steht unter diesem Link kostenlos zum Download zur Verfügung.

 

 

Andere interessante News

Digitale Schwachstelle

Schutz von Ruby-Anwendungen: kritische Schwachstellen im Rack-Framework entdeckt

Das Sicherheitsteam von OPSWAT hat drei schwerwiegende Schwachstellen im weit verbreiteten Ruby-Framework Rack aufgedeckt. Die Bugs ermöglichten potenziell unbefugten Dateizugriff ...

E-Mail-Security

Neue Methoden, alte Ziele: Wie Angreifer E-Mail-Sicherheit unterwandern

Cyberangriffe per E-Mail nehmen neue Formen an – und sie treffen mit voller Wucht: Ein aktueller Bericht zeigt anhand realer globaler Daten, welche Taktiken Angreifer im ersten Qua...

Maskierter Hacker vor Daten

Angreifern den Weg abschneiden: Lateral Movement erkennen und verhindern

Cyberangreifer bleiben nach dem ersten Zugriff nicht stehen, sondern bewegen sich geschickt seitwärts durch das Netzwerk. Dieses sogenannte Lateral Movement ist oft der entscheiden...