Warum Webanwendungen beliebte Einfallstore für Cyberkriminelle sind
Eine aktuelle Analyse im Zeitraum von 2021 bis 2023 zeigt, dass die häufigsten Sicherheitsprobleme in selbst entwickelten Unternehmens-Webanwendungen Schwachstellen bei der Zugangskontrolle sind und das Risiko der Offenlegung von Daten erhöhen. Die Anfälligkeit für Schwachstellen macht Webanwendungen zum begehrten Ziel für Cyberangriffe.
Kaspersky hat langfristig Schwachstellen in Webanwendungen von Unternehmen untersucht, die in den Bereichen IT, Behörden, Versicherungen, Telekommunikation, Kryptowährungen, E-Commerce und Gesundheitswesen tätig sind. Die Analyse ergab, dass etwa 70 Prozent der Schwachstellen den Datenschutz betreffen, insbesondere in Bezug auf vertrauliche Daten wie Passwörter, Kreditkarteninformationen, Gesundheitsakten und persönliche Daten. Die restlichen Schwachstellen betreffen die Zugriffskontrolle, die es Cyberkriminellen ermöglicht, Website-Richtlinien zu umgehen und Daten zu ändern oder zu löschen.
Die Experten fanden in den meisten untersuchten Anwendungen mehrere Schwachstellen, welche die Zugriffskontrolle und den Datenschutz betrafen. Viele davon wurden als besonders risikoreich eingestuft, insbesondere SQL-Injektionen. Zum Beispiel waren 88 Prozent aller SQL-Injektions-Schwachstellen als hochriskant eingestuft, ebenso wie 78 Prozent der Schwachstellen im Zusammenhang mit schwachen Passwörtern.
Darüber hinaus wiesen 22 Prozent der untersuchten Webanwendungen schwache Passwörter auf. Möglicherweise waren einige dieser Anwendungen ursprünglich Testversionen und keine Live-Systeme.
Oxana Andreeva, Sicherheitsexpertin im Team von Kaspersky Security Assessment, betont, dass diese Untersuchung die häufigsten Schwachstellen in inhouse entwickelten Webanwendungen von Unternehmen sowie ihr Risiko aufzeigt. Diese Schwachstellen könnten es Angreifern ermöglichen, Benutzerdaten zu stehlen oder schädlichen Code auf dem Server auszuführen. „Jede Schwachstelle hat unterschiedlich starke Auswirkungen auf die Geschäftskontinuität und die Ausfallsicherheit. Unternehmen sollten daher auf die Sicherheit bei der Entwicklung von Webanwendungen achten und diese stetig überprüfen.“
Kaspersky-Empfehlungen zum Schutz von unternehmensintern entwickelten Webanwendungen
- Einen Secure Software Development Lifecycle (SSDLC) implementieren.
- Regelmäßig Bewertungen der Anwendungssicherheit durchführen und entsprechende Maßnahmen ergreifen.
- Den Betrieb der Anwendungen überwachen.
Arten von gefunden Schwachstellen und ihr Vorkommen in unternehmensintern entwickelten Webanwendungen.
