Home » News » Security Management » Studie zeigt erhebliches Risiko für Unternehmen

Webanwendungen im Fokus:: Studie zeigt erhebliches Risiko für Unternehmen

Webanwendungen sind das schwächste Glied in der externen Cyber-Angriffsfläche von Unternehmen, wie aus dem aktuellen State of External Exposure Management Report hervorgeht. Trotz ihrer kritischen Rolle sind sie oft unzureichend geschützt, was eine erhebliche Gefahr für die Sicherheit darstellt.

2 Min. Lesezeit
Foto: ©AdobeStock/Cagkan

CyCognito, ein führender Anbieter im Bereich External Attack Surface Risk Management (EASM), hat in seiner kürzlich veröffentlichten Studie, die zwischen Juni 2022 und Mai 2023 durchgeführt wurde, die Sicherheitslage von 3,5 Millionen über das Internet erreichbaren Assets, darunter Zertifikate, Domänen, Webserver, API-Endpunkte und Web-Apps, eingehend untersucht. Die Ergebnisse der Studie sind alarmierend und verdeutlichen die wachsende Gefahr von Sicherheitsverletzungen in der digitalen Landschaft von Unternehmen.

Insbesondere zeigt die Studie, dass 70 Prozent der überprüften Assets eklatante Sicherheitslücken aufwiesen. Besonders besorgniserregend ist, dass fast drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mailadressen, Kontodaten oder Passnummern verarbeiten, mindestens einer gefährlichen und öffentlich bekannten, aber bisher unbehobenen Schwachstelle ausgesetzt waren. In einigen Fällen enthielten zehn Prozent dieser Apps sogar Schwachstellen, die für Angreifer leicht ausnutzbar sind.

Die Studie hebt auch eklatante Mängel im Schutz dieser Webanwendungen hervor. Ein Drittel der untersuchten Web-Apps nutzte für die Kommunikation nicht das HTTPS-Protokoll, 70 Prozent waren nicht von einer Web Application Firewall (WAF) geschützt, und 25 Prozent verwendeten weder HTTPS noch eine WAF.

Externe Angriffsfläche schwer zu managen

Die äußere Cyber-Angriffsfläche von Unternehmen, die durch mit dem Internet verbundene Assets entsteht, ist dynamisch und unterliegt ständigen Änderungen. Unternehmen haben Schwierigkeiten, den Überblick zu behalten, insbesondere angesichts einer Fluktuation aktiver und genutzter Assets von etwa zehn Prozent im Monat. Eine herausfordernde Aufgabe wird dies auch durch die Anzahl angegliederter Tochtergesellschaften: Wie eine frühere Studie von CyCognito herausfand, entstehen 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über Assets in Unterorganisationen.

Um ein effektives Risikomanagement für die externe Cyber-Angriffsfläche zu gewährleisten, empfiehlt die Studie, nicht nur besonders gefährdete Assets zu priorisieren, sondern auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen vorzunehmen. Diese sollte nicht ausschließlich auf allgemeinen Bewertungssystemen wie dem Common Vulnerability Scoring System (CVSS) basieren, da nicht jede Sicherheitslücke für jedes Unternehmen die gleiche Gefahr birgt.

Dr. Georg Hess, Regional Sales Director bei CyCognito, unterstreicht die Bedeutung eines umfassenden Ansatzes: „Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung. Vor allem Web-Apps sind für Angreifer ein lohnendes und oft einfach auszunutzendes Ziel. Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, die mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.“

Der gesamte State of External Exposure Management Report steht unter diesem Link kostenlos zum Download zur Verfügung.

 

 

Andere interessante News

Handy Betrug

Vorsicht Abzocke: Hype um iPhone-16-Release lockt Betrüger

Mit dem Hype um den Release des neuen iPhone 16 nutzen Cyberkriminelle die Begeisterung der Apple-Fans schamlos aus: Sie locken ahnungslose Nutzer mit Möglichkeiten für (gefälschte...

Phishing-Mail

Warnung: Mobile Phishing-Angriffe nehmen massiv zu

Vier von fünf Phishing-Seiten zielen speziell auf mobile Geräte ab. Mobile Phishing umfasst Methoden wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-, E-Mail- und Social...

Frau bei Videokonferenz

BSI erklärt Videokonferenzdienst Zoom für sicher

Der Videokonferenzanbieter Zoom hat jetzt zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. BSI-Vizepräsident Dr. Gerhard Schab...