-2.8 C
Berlin
Montag, Januar 13, 2025
StartStrategie5 Vorsätze für CISOs im neuen Jahr

5 Vorsätze für CISOs im neuen Jahr

Date:

Die Anzahl entdeckter und registrierter Schwachstellen in IT-Produkten nimmt jährlich deutlich zu. 2023 waren es lt. den Statistiken der Common Vulnerabilities and Exposures (CVE)-Datenbank insgesamt etwa 27.000 neue Schwachstellen. Im Durchschnitt wurden täglich etwa 68 neue Schwachstellen gemeldet. Das entspricht einem Anstieg von rund 24% im Vergleich zum Vorjahr. Auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestätigt: Die Zahl verwundbarer IT-Systeme steigt.

Meldungen über schwachstellenbehaftete Produkte Juli 2023 bis Juni 2024 nach möglicher Schadwirkung (Quelle: BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2024)

Wir haben fünf Vorsätze, die IT-Verantwortliche im neuen Jahr unbedingt realisieren sollten.

Mehr als das Fünffache in zehn Jahren

Offiziell wurden im Jahr 2013 knapp 5.000 Schwachstellen in IT-Produkten registriert (4.794 lt. CVE-Datenbank). Das Wachstum der letzten zehn Jahre weist auf die zunehmende Wichtigkeit einer IT-Sicherheitsstrategie inkl. einer gesunden Patch-Kultur hin. Seit 2016 nimmt die Anzahl der gemeldeten Schwachstellen jährlich exponentiell zu. Ein Grund für den rasanten Anstieg ist sicher, dass Hersteller und Forscher Schwachstellen schneller und transparenter melden. Aber auch wachsende Digitalisierung, zunehmend modulare Soft- und Hardware sowie die steigende Integration von Drittanbieter-Komponenten tragen zu dieser Entwicklung bei. Auch wird beobachtet, dass Open-Source-Software stärker im Fokus der Angreifer steht. Bei der aktuellen Dynamik würde sich die Anzahl bekannter Schwachstellen innerhalb der nächsten vier Jahre fast verdoppeln.

Nur die Spitze des Eisbergs

Tatsächlich sind die Zahlen wahrscheinlich sogar noch höher. Es gibt zwar verschiedene Datenbanken und Institutionen, die Schwachstellen erfassen, aber keine davon hat den Anspruch der Vollständigkeit oder deckt alle IT-Produkte ab. Manche Datenbanken erfassen nur kritische Schwachstellen, während andere auch weniger schwerwiegende Probleme auflisten. Andere Arten von Schwachstellen, wie z. B. Fehler in der Konfiguration oder im menschlichen Verhalten, werden gar nicht erfasst. Zudem kann es zur Verzögerung bei der Veröffentlichung kommen. In einigen Fällen kann es bis zu 18 Monaten dauern, bis neu entdeckte Schwachstellen in einer CVE-Datenbank veröffentlicht werden. Auch werden nicht immer alle entdeckten Schwachstellen gemeldet. Manchmal entscheiden sich Hersteller oder Sicherheitsforscher dafür, Schwachstellen nicht öffentlich zu machen, um z. B. Angreifern keine Informationen zu liefern.

Beliebt bei Anwendern – und Angreifern!

Im Jahr 2023 wurde Microsoft als der Hersteller mit den meisten gemeldeten Schwachstellen identifiziert. Laut Statistiken u. a. aus der CVE-Datenbank und anderen Berichten gab es in den Produkten von Microsoft über 1.200 Sicherheitslücken – viele davon kritisch. Die hohe Zahl ist u.a. auf die Vielfalt zurückzuführen, die von Betriebssystemen wie Windows bis zu Cloud-Diensten wie Azure reicht. Auch andere Anbieter mit großem Produktportfolio wie Google, Oracle oder Cisco waren in Bezug auf Schwachstellen prominent vertreten. Es verdeutlicht die Herausforderungen, die sich aus der Komplexität moderner IT-Produkte und der schnellen Innovationszyklen ergeben.

Die Top 10 der Anbieter mit den meisten Schwachstellen 2023

  1. Microsoft: Es wurden über 1.000 Schwachstellen gemeldet, darunter mehrere kritische Zero-Day-Schwachstellen, die bei Angriffen in der realen Welt ausgenutzt wurden
  2. Google: Etwa 600 Schwachstellen, größtenteils in Produkten wie Chrome und Android
  3. Apple: Etwa 400 Schwachstellen, hauptsächlich in macOS, iOS und Safari
  4. Oracle: Über 300 Schwachstellen, vor allem in Datenbanksystemen und Java-bezogenen Produkten
  5. Cisco: Rund 250 Schwachstellen, bevorzugt in Netzwerkhard- und -software
  6. Adobe: Etwa 200 Schwachstellen, mit Schwerpunkt auf Acrobat-, Reader- und Creative Cloud-Anwendungen
  7. VMware: Etwa 180 Schwachstellen, darunter schwerwiegende Probleme in den Virtualisierungsprodukten
  8. Fortinet: ca. 150 Schwachstellen in den Sicherheitsanwendungen
  9. SAP: Rund 120 Schwachstellen in den Unternehmensanwendungen
  10. Intel: Über 100 Schwachstellen in in Firmware- und Hardwarekomponenten

Während bei den Servern Linux-Betriebssysteme dominieren (ca. 80%), erreicht bei den Desktops nach wie vor das Microsoft-Betriebssystem Windows mit ca. 75% den höchsten Marktanteil. Diese hohe Verbreitung macht Schwachstellen für Angreifer besonders attraktiv. Mit nur einem Angriffsszenario erreichen sie mehr als Dreiviertel der IT-Systeme.

Laut dem Attack-Surface-Report der Palo-Alto-Networks-Tochter Unit 42 betreffen 73% der Schwachstellen mit hohem Risiko nur drei Bereiche: IT- und Netzwerkinfrastruktur, Anwendungen des Geschäftsbetriebs und Dienste für Fernzugriff. Besonders heikel wird es, wenn Anbieter beliebter Netzwerk- und Sicherheitslösungen viele Schwachstellen haben. Die fünf größten 2023 ausgenutzten Schwachstellen betrafen nur drei Anbieter. Zwei davon sind Hersteller von Netzwerkgeräten (Cisco) bzw. Firewalls (Fortinet).

Pro-Tipp: Unternehmen sollten bei der IT-Sicherheit auf Anbieter- und Technologie-Redundanz setzen. Für viele Netzwerk- und Sicherheitsprodukte gibt es europäische oder sogar deutsche Alternativen. Auch kann es sich lohnen, neue oder weniger verbreitete Anbieter zu evaluieren. 

Eine gute Alternative für für Switche sind z. B. die Produkte von Arista. Bei Firewalls gibt es u. a. mit Lancom eine sehr gute Alternative zu den großen amerikanischen oder asiatischen Anbietern. CERT Bund listet im Jahr 2023 für Arista nur sieben Schwachstellen (plus acht weitere in 2024) und bei Lancom-Firewalls waren 2023 keine Schwachstellen gemeldet (2024 gab es zwei für das LCOS). Für alle gibt es Sicherheitsupdates.

Wettlauf gegen die Zeit

Zwar arbeiten die Hersteller daran, Sicherheitslücken schnell durch Patches und Updates zu schließen. Allerdings ist die Verwaltung der Schwachstellen und die regelmäßige Installation verfügbarer Patches und Updates eine der zentrale Aufgaben für IT-Sicherheitsverantwortliche.

Ungepatchte Systeme sind ein großes Sicherheitsrisiko. Organisationen stehen vor der Herausforderung, bekannte Schwachstellen zu beheben bevor sie von Angreifern ausgenutzt werden. Und das ist ein immer härterer Wettlauf gegen die Zeit. Vergingen bis vor ein paar Jahren noch Wochen oder sogar Monate, bis bekannte Schwachstellen in der freien Wildbahn ausgenutzt wurden, sind es inzwischen maximal ein paar Tage. 2019 wurde eine durchschnittliche TTE (Time to Exploit) von 63 Tagen beobachtet. 2020 sank diese Zahl auf 44 Tage. In den Jahren 2021 und 2022 betrug die durchschnittliche TTE nur noch 32 Tage. Im Jahr 2023 wurde der bisher größten Rückgang der TTE mit einem Durchschnitt von fünf Tagen verzeichnet. (Quelle: Google Mandiant)

97 der 138 von Mandiant 2023 offengelegten und analysierten, aktiv ausgenutzten Schwachstellen waren Zero-Day-Exploits; sie wurden ausgenutzt bevor die Hersteller Patches veröffentlichten. Damit stieg dieser Anteil im Jahr 2023 auf 70%. In den beiden Jahren davor waren es noch 62%. Die hohe Anzahl an Schwachstellen und deren immer schnellere Ausnutzung unterstreichen die Notwendigkeit eines robusten Patch-Managements und proaktiver Sicherheitsmaßnahmen.

Sicherheitskultur etablieren

Angesichts der Schwachstellenflut, zunehmender Komplexität von IT-Systemen und der steigenden Zahl vernetzter Geräte ist eine systematische Herangehensweise entscheidend. Zu einer effektiven Sicherheitsstrategie gehören Werkzeuge zur Erkennung und Bewertung von Schwachstellen und zur Simulation von Bedrohungsszenarien (z. B. automatisierte Pentests).

2023 blieben in der EMEA-Region Eindringlinge länger unentdeckt als in den Vorjahren

Eines der Ergebnisse aus dem m-trends-Report 2024 von Mandiant

Die kontinuierliche Überwachung und Analyse der IT-Services inkl. Edge und Cloud helfen, Veränderungen und damit potentielle Angriffe früh zu erkennen. Zero-Trust-Architekturen minimieren Sicherheitsrisiken. Die Automatisierung wiederkehrender Aufgaben bietet weniger Raum für Fehler.

Mit diesen fünf Maßnahmen können Organisationen die Sicherheit ihrer Investitionen und Daten sofort massiv steigern:

  1. Patch-Management priorisieren
  2. Automatisierung einsetzen
  3. Proaktiv werden
  4. ☝️ Notfallpläne und -maßnahmen (z. B. Backup & Restore) testen
  5. Neuen oder unbekannteren Produkten eine Chance geben

Organisationen stehen in einer sich ständig verändernden Bedrohungslandschaft vor immer neuen Herausforderungen. Mit den Instrumenten der künstlichen Intelligenz verändern sich Art und Geschwindigkeit von Cyberangriffen. KI verändert auch die Werkzeuge zur Erkennung von Sicherheitslücken und Bekämpfung von Angriffen. Cybersicherheit ist geprägt von Innovation. IT-Verantwortliche müssen sich dessen bewußt sein und entsprechend handeln. Der Wunsch unserer Chefredakteurin für 2025 ist daher:

Stellt eure Sicherheitsstrategie kontinuierlich auf den Prüfstand. Habt mehr Mut zum Einsatz von Lösungen neuer oder kleinerer Anbieter! Es lohnt sich sowohl für euer Budget als auch für die Sicherheit eurer Kronjuwelen.


Happy New Threats!

Kerstin Mende-Stief
Kerstin Mende-Stief
Publisher & Editor in Chief data-disrupted.de | Analyst | Ghost Writer | Tech Doku & Translations @ mende.media for B2B ICT only, open source first | Cocktail Mixer | House Electrician | cat herder

Newsletter

Verpasse keinen Artikel oder Podcast mehr: Mit unserem Newsletter informieren wir Dich sporadisch über Updates. Manchmal ist auch von einem Hersteller sponsored content dabei. Wir geben jedoch nie Deine Kontaktdaten weiter. Versprochen!

Mehr aus dieser Rubrik

spot_img