Pressemitteilungen

86 Prozent aller Schwachstellen, die im Jahr 2012 in den 50 meistgenutzten Programmen entdeckt wurden, stammen von Drittanbieter-Software (Nicht-Microsoft-Programme). Das ist das Ergebnis des aktuellen Jahresreports 2013 von Secunia, einem führenden Lösungsanbieter für das Management von Bedrohungen durch Sicherheitslücken. Third-party-Software stellt damit die größte Bedrohung für Endpunkte in Unternehmen und bei privaten Anwendern dar. Entsprechend sollten sich Schwachstellen-Analyse und Patch-Management nicht nur auf die bekannten Schnittstellen der Programme von Microsoft und die gängigsten Anwendungen anderer Anbieter konzentrieren.

Im Jahr 2011 lag der Prozentsatz von Schwachstellen in den 50 beliebtesten Programmen von Drittanbietern bei nur 78 Prozent. Die restlichen 14 Prozent der Sicherheitslücken wurden in Microsoft-Programmen und Windows-Betriebssystemen identifiziert. Das ist ein deutlich geringerer Anteil als noch im Jahr zuvor, was darauf hinweist, dass sich Microsoft intensiv mit der Sicherheit seiner Produkte beschäftigt.

Anzahl der Sicherheitslücken steigt

„Unternehmen sollten Programme von Drittanbietern als Hauptquelle für Schwachstellen in ihrer IT-Infrastruktur nicht weiter ignorieren oder unterschätzen. Viele Unternehmen wollen nicht wahr haben, dass die Zahl der Sicherheitslücken kontinuierlich ansteigt und gefährden so ihre IT-Infrastruktur: Eine einzige Schwachstelle reicht schon aus, um ein Unternehmen in Gefahr zu bringen. Dann können weder Prozesse und Technologien, die Betriebssysteme oder Microsoft-Programme unterstützen, den erforderlichen Schutz bieten“, sagt Morten R. Stengaard, Secunias Director of Product Management.

Der Secunia-Report belegt weiterhin, dass die Zahl der Schwachstellen in den 50 meistgenutzten Programmen auf privaten PCs in den vergangenen fünf Jahren um unglaubliche 98 Prozent angestiegen ist, auch hier sind Programme von Drittanbietern die Hauptursache. Daher lautet die Empfehlung, dass Unternehmen deutlich mehr in das Schwachstellen- und Patch-Management investieren und sich stärker mit den Ursachen vieler Sicherheitsfragen befassen sollten, nämlich ungepatchten Schwachstellen.

Auch das Marktforschungsinstitut Gartner hat die Gefahr von Sicherheitslücken für Unternehmen untersucht. Die Auguren haben ein starkes Argument für proaktives und schnelleres Patch-Management: „Bis 2015 werden 80 Prozent der erfolgreichen Angriffe bekannte Sicherheitslücken ausnutzen und über Sicherheits- und Überwachungseinrichtungen nachweisbar sein. (...) Anwendungen sind das Tor zu den Daten, die im Mittelpunkt eines gezielten Angriffs stehen. Mit dynamischen Application Security Testing (DAST)-Werkzeugen können Produktions-Anwendungen gescannt werden, um Schwachstellen aufzudecken. Wenn in einer aktuellen Anwendung eine Sicherheitslücke auftritt, ist die Datenerfassung ein Risiko und die Sanierung der Durchlaufzeit dauert lange, in der Regel mehrere Monate.“ ^(*1)

Ignorieren auf eigene Gefahr

Für die Sicherheit von mittelständischen IT-Umgebungen empfiehlt Gartner das Patchen für alle Systeme, nicht nur der allgemein üblichen Anwendungen.^(*2) Trotzdem aktualisieren IT-Profis oftmals nur Microsoft-Programme und Betriebssysteme sowie einige wenige andere Anwendungen. So ignorieren sie die Gefahren, die von Programmen von Drittanbietern ausgehen, und bringen die Daten des Unternehmens unnötig in Gefahr: Immerhin wurden in den 50 weltweit am meisten genutzten Programmen auf privaten PCs nicht weniger als 1.137 Schwachstellen in 18 verschiedenen Programmen entdeckt – das sind durchschnittlich 63 Sicherheitslücken pro Produkt.

Diesen Bedrohungen muss sich kein Unternehmen aussetzen, denn die Analyse von Secunia zeigt auch einen positiven Trend auf: Im Jahr 2012 waren für 84 Prozent aller Schwachstellen bereits am Tag ihres Bekanntwerdens Patches verfügbar. 2011 waren es noch 72 Prozent, also zeigt sich mittlerweile eine deutliche Verbesserung. Die wahrscheinlichste Erklärung für das Phänomen der „time-to-patch“ ist, dass mehr Forscher ihre Schwachstellen-Reports mit Software-Anbietern koordinieren.

 „Das zeigt, dass es möglich ist, die meisten Schwachstellen zu reparieren. Es gibt keine Entschuldigung dafür, keine Patches durchzuführen. Um die Vorteile der schnelleren Patching-Verfügbarkeit zu nutzen, müssen Unternehmen wissen, welche Programme sich aktuell auf ihren Systemen befinden, und welche dieser Programme unsicher sind, um dann eine intelligente und priorisierte Aktualisierung durchzuführen“, erläutert Morten R. Stengaard.

(*1) Gartner: „Adaption Vulnerability Management to Advanced Threats“, August 2012

(*2) Gartner: „Best Practices for Securing Midmarket IT Environments“, Februar 2013

Wichtige Ergebnisse im Überblick

• Für den Schwachstellen-Anstieg sind hauptsächlich Programme von Drittanbietern verantwortlich, nicht Microsoft-Programme.
• Der Fünf-Jahres-Trend zeigt, dass der Anteil der Schwachstellen bei Drittanbieter-Programmen von 57 Prozent in 2007 auf 86 Prozent in 2012 gestiegen ist. Allein von 2011 auf 2012 stieg die Zahl von 78 Prozent auf 86 Prozent.
• 86 Prozent aller Schwachstellen 2012 sind auf Drittanwender-Programme zurückzuführen, dabei wurden 5,5 Prozent der Sicherheitslücken in Betriebssystemen festgestellt und 8,5 Prozent in Microsoft-Programmen. 2011 waren es noch 78 Prozent in Nicht-Microsoft-Programmen, 10 Prozent in Betriebssystemen und 12 Prozent in Microsoft-Programmen.
• Insgesamt wurden im Jahr 2012 1.137 Sicherheitslücken in den 50 meistinstallierten Programmen entdeckt, was im Fünf-Jahres-Trend einem Anstieg von 98 Prozent entspricht. 78,8 Prozent dieser Schwachstellen ordnet Secunia als „sehr kritisch“ und 5,3 Prozent als „extrem kritisch“ ein.
• Die 1.137 Schwachstellen in den 50 meistinstallierten Programmen wurden in 18 verschiedenen Produkten festgestellt, das entspricht 63 Sicherheitslücken je betroffenem Produkt.
• Im Jahr 2012 wurden 2.503 gefährdete Produkte mit insgesamt 9.776 Schwachstellen entdeckt, das sind durchschnittlich vier Schwachstellen je Produkt.
• Für 84 Prozent aller Schwachstellen waren bereits am Tag der Veröffentlichung Patches für Endpunkte für Endanwender und Unternehmen verfügbar, 2011 waren es 72 Prozent.

Der Secunia Jahresreport 2013

Der Secunia Yearly Report 2013 analysiert die Entwicklung der Software-Sicherheit aus weltweiter, industrieweiter Unternehmens- und Endpunkt-Perspektive. Er präsentiert Daten über Schwachstellen und Exploits sowie die Verfügbarkeit von Patches. Dabei korreliert er diese Informationen mit dem Marktanteil der Programme, um die tatsächliche Gefährdung zu ermitteln.

Quelle: Pressemitteilung der Secunia ApS vom 14.03.2013