Die Anzahl entdeckter und registrierter Schwachstellen in IT-Produkten nimmt jährlich deutlich zu. 2023 waren es lt. den Statistiken der Common Vulnerabilities and Exposures (CVE)-Datenbank insgesamt etwa 27.000 neue Schwachstellen. Im Durchschnitt wurden täglich etwa 68 neue Schwachstellen gemeldet. Das entspricht einem Anstieg von rund 24% im Vergleich zum Vorjahr. Auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestätigt: Die Zahl verwundbarer IT-Systeme steigt.
Wir haben fünf Vorsätze, die IT-Verantwortliche im neuen Jahr unbedingt realisieren sollten.
Mehr als das Fünffache in zehn Jahren
Offiziell wurden im Jahr 2013 knapp 5.000 Schwachstellen in IT-Produkten registriert (4.794 lt. CVE-Datenbank). Das Wachstum der letzten zehn Jahre weist auf die zunehmende Wichtigkeit einer IT-Sicherheitsstrategie inkl. einer gesunden Patch-Kultur hin. Seit 2016 nimmt die Anzahl der gemeldeten Schwachstellen jährlich exponentiell zu. Ein Grund für den rasanten Anstieg ist sicher, dass Hersteller und Forscher Schwachstellen schneller und transparenter melden. Aber auch wachsende Digitalisierung, zunehmend modulare Soft- und Hardware sowie die steigende Integration von Drittanbieter-Komponenten tragen zu dieser Entwicklung bei. Auch wird beobachtet, dass Open-Source-Software stärker im Fokus der Angreifer steht. Bei der aktuellen Dynamik würde sich die Anzahl bekannter Schwachstellen innerhalb der nächsten vier Jahre fast verdoppeln.
Nur die Spitze des Eisbergs
Tatsächlich sind die Zahlen wahrscheinlich sogar noch höher. Es gibt zwar verschiedene Datenbanken und Institutionen, die Schwachstellen erfassen, aber keine davon hat den Anspruch der Vollständigkeit oder deckt alle IT-Produkte ab. Manche Datenbanken erfassen nur kritische Schwachstellen, während andere auch weniger schwerwiegende Probleme auflisten. Andere Arten von Schwachstellen, wie z. B. Fehler in der Konfiguration oder im menschlichen Verhalten, werden gar nicht erfasst. Zudem kann es zur Verzögerung bei der Veröffentlichung kommen. In einigen Fällen kann es bis zu 18 Monaten dauern, bis neu entdeckte Schwachstellen in einer CVE-Datenbank veröffentlicht werden. Auch werden nicht immer alle entdeckten Schwachstellen gemeldet. Manchmal entscheiden sich Hersteller oder Sicherheitsforscher dafür, Schwachstellen nicht öffentlich zu machen, um z. B. Angreifern keine Informationen zu liefern.
Beliebt bei Anwendern – und Angreifern!
Im Jahr 2023 wurde Microsoft als der Hersteller mit den meisten gemeldeten Schwachstellen identifiziert. Laut Statistiken u. a. aus der CVE-Datenbank und anderen Berichten gab es in den Produkten von Microsoft über 1.200 Sicherheitslücken – viele davon kritisch. Die hohe Zahl ist u.a. auf die Vielfalt zurückzuführen, die von Betriebssystemen wie Windows bis zu Cloud-Diensten wie Azure reicht. Auch andere Anbieter mit großem Produktportfolio wie Google, Oracle oder Cisco waren in Bezug auf Schwachstellen prominent vertreten. Es verdeutlicht die Herausforderungen, die sich aus der Komplexität moderner IT-Produkte und der schnellen Innovationszyklen ergeben.
Die Top 10 der Anbieter mit den meisten Schwachstellen 2023
- Microsoft: Es wurden über 1.000 Schwachstellen gemeldet, darunter mehrere kritische Zero-Day-Schwachstellen, die bei Angriffen in der realen Welt ausgenutzt wurden
- Google: Etwa 600 Schwachstellen, größtenteils in Produkten wie Chrome und Android
- Apple: Etwa 400 Schwachstellen, hauptsächlich in macOS, iOS und Safari
- Oracle: Über 300 Schwachstellen, vor allem in Datenbanksystemen und Java-bezogenen Produkten
- Cisco: Rund 250 Schwachstellen, bevorzugt in Netzwerkhard- und -software
- Adobe: Etwa 200 Schwachstellen, mit Schwerpunkt auf Acrobat-, Reader- und Creative Cloud-Anwendungen
- VMware: Etwa 180 Schwachstellen, darunter schwerwiegende Probleme in den Virtualisierungsprodukten
- Fortinet: ca. 150 Schwachstellen in den Sicherheitsanwendungen
- SAP: Rund 120 Schwachstellen in den Unternehmensanwendungen
- Intel: Über 100 Schwachstellen in in Firmware- und Hardwarekomponenten
Während bei den Servern Linux-Betriebssysteme dominieren (ca. 80%), erreicht bei den Desktops nach wie vor das Microsoft-Betriebssystem Windows mit ca. 75% den höchsten Marktanteil. Diese hohe Verbreitung macht Schwachstellen für Angreifer besonders attraktiv. Mit nur einem Angriffsszenario erreichen sie mehr als Dreiviertel der IT-Systeme.
Laut dem Attack-Surface-Report der Palo-Alto-Networks-Tochter Unit 42 betreffen 73% der Schwachstellen mit hohem Risiko nur drei Bereiche: IT- und Netzwerkinfrastruktur, Anwendungen des Geschäftsbetriebs und Dienste für Fernzugriff. Besonders heikel wird es, wenn Anbieter beliebter Netzwerk- und Sicherheitslösungen viele Schwachstellen haben. Die fünf größten 2023 ausgenutzten Schwachstellen betrafen nur drei Anbieter. Zwei davon sind Hersteller von Netzwerkgeräten (Cisco) bzw. Firewalls (Fortinet).
Pro-Tipp: Unternehmen sollten bei der IT-Sicherheit auf Anbieter- und Technologie-Redundanz setzen. Für viele Netzwerk- und Sicherheitsprodukte gibt es europäische oder sogar deutsche Alternativen. Auch kann es sich lohnen, neue oder weniger verbreitete Anbieter zu evaluieren.
Eine gute Alternative für für Switche sind z. B. die Produkte von Arista. Bei Firewalls gibt es u. a. mit Lancom eine sehr gute Alternative zu den großen amerikanischen oder asiatischen Anbietern. CERT Bund listet im Jahr 2023 für Arista nur sieben Schwachstellen (plus acht weitere in 2024) und bei Lancom-Firewalls waren 2023 keine Schwachstellen gemeldet (2024 gab es zwei für das LCOS). Für alle gibt es Sicherheitsupdates.
Wettlauf gegen die Zeit
Zwar arbeiten die Hersteller daran, Sicherheitslücken schnell durch Patches und Updates zu schließen. Allerdings ist die Verwaltung der Schwachstellen und die regelmäßige Installation verfügbarer Patches und Updates eine der zentrale Aufgaben für IT-Sicherheitsverantwortliche.
Ungepatchte Systeme sind ein großes Sicherheitsrisiko. Organisationen stehen vor der Herausforderung, bekannte Schwachstellen zu beheben bevor sie von Angreifern ausgenutzt werden. Und das ist ein immer härterer Wettlauf gegen die Zeit. Vergingen bis vor ein paar Jahren noch Wochen oder sogar Monate, bis bekannte Schwachstellen in der freien Wildbahn ausgenutzt wurden, sind es inzwischen maximal ein paar Tage. 2019 wurde eine durchschnittliche TTE (Time to Exploit) von 63 Tagen beobachtet. 2020 sank diese Zahl auf 44 Tage. In den Jahren 2021 und 2022 betrug die durchschnittliche TTE nur noch 32 Tage. Im Jahr 2023 wurde der bisher größten Rückgang der TTE mit einem Durchschnitt von fünf Tagen verzeichnet. (Quelle: Google Mandiant)
97 der 138 von Mandiant 2023 offengelegten und analysierten, aktiv ausgenutzten Schwachstellen waren Zero-Day-Exploits; sie wurden ausgenutzt bevor die Hersteller Patches veröffentlichten. Damit stieg dieser Anteil im Jahr 2023 auf 70%. In den beiden Jahren davor waren es noch 62%. Die hohe Anzahl an Schwachstellen und deren immer schnellere Ausnutzung unterstreichen die Notwendigkeit eines robusten Patch-Managements und proaktiver Sicherheitsmaßnahmen.
Sicherheitskultur etablieren
Angesichts der Schwachstellenflut, zunehmender Komplexität von IT-Systemen und der steigenden Zahl vernetzter Geräte ist eine systematische Herangehensweise entscheidend. Zu einer effektiven Sicherheitsstrategie gehören Werkzeuge zur Erkennung und Bewertung von Schwachstellen und zur Simulation von Bedrohungsszenarien (z. B. automatisierte Pentests).
2023 blieben in der EMEA-Region Eindringlinge länger unentdeckt als in den Vorjahren
Eines der Ergebnisse aus dem m-trends-Report 2024 von Mandiant
Die kontinuierliche Überwachung und Analyse der IT-Services inkl. Edge und Cloud helfen, Veränderungen und damit potentielle Angriffe früh zu erkennen. Zero-Trust-Architekturen minimieren Sicherheitsrisiken. Die Automatisierung wiederkehrender Aufgaben bietet weniger Raum für Fehler.
Mit diesen fünf Maßnahmen können Organisationen die Sicherheit ihrer Investitionen und Daten sofort massiv steigern:
- Patch-Management priorisieren
- Automatisierung einsetzen
- Proaktiv werden
- ☝️ Notfallpläne und -maßnahmen (z. B. Backup & Restore) testen
- Neuen oder unbekannteren Produkten eine Chance geben
Organisationen stehen in einer sich ständig verändernden Bedrohungslandschaft vor immer neuen Herausforderungen. Mit den Instrumenten der künstlichen Intelligenz verändern sich Art und Geschwindigkeit von Cyberangriffen. KI verändert auch die Werkzeuge zur Erkennung von Sicherheitslücken und Bekämpfung von Angriffen. Cybersicherheit ist geprägt von Innovation. IT-Verantwortliche müssen sich dessen bewußt sein und entsprechend handeln. Der Wunsch unserer Chefredakteurin für 2025 ist daher:
Stellt eure Sicherheitsstrategie kontinuierlich auf den Prüfstand. Habt mehr Mut zum Einsatz von Lösungen neuer oder kleinerer Anbieter! Es lohnt sich sowohl für euer Budget als auch für die Sicherheit eurer Kronjuwelen.