Schwachstellen-Tests wichtig wie nie – 3 Tipps vom Sicherheitsspezialisten Trustwave
München – Eine kürzlich von Trustwave durchgeführte Befragung von Sicherheitsexperten ergab, dass sehr wenige Unternehmen bei ihren Web-Anwendungen Schwachstellen-Tests durchführen. Und dass, obwohl ein Großteil der befragten Unternehmen in den letzten zwei Jahren mindestens ein Mal das Opfer eines Hackerangriffs geworden ist. Trustwave zeigt, welche drei Maßnahmen ausreichen, um Angriffe gezielt abzuwehren.
Die Befragung hat zudem ergeben, dass sich die Unternehmen durchaus bewusst sind, dass ihre Cloud-, mobilen und Web-Anwendungen permanent einem Angriff ausgesetzt sind. Trotzdem gaben über 70 Prozent der Befragten an, dass bei weniger als 10 Prozent aller Anwendungen Schwachstellentests durchgeführt werden.
Obwohl es grundsätzlich besser ist, nur unternehmenskritische Anwendungen zu testen, als überhaupt keine Tests durchzuführen, machen es Unternehmen Hackern damit leicht. Denn sobald diese einen Weg in die Netzwerk-Infrastruktur gefunden haben, finden Sie auch die Möglichkeit, andere Anwendungen anzugreifen und so an die gewünschten Daten zu kommen.
Nach wie vor sind vor allem begrenztes Budget und mangelndes Fachwissen Ursachen dafür, dass Schwachstellen-Tests in unzureichendem Maße durchgeführt werden. Dazu gehört zum Beispiel die Annahme, dass interne Anwendungen, die keine externe Schnittstelle haben, auch nicht getestet werden müssen. Viele Unternehmen ignorieren nach wie vor die Bedrohungen durch Insider. Für einen nicht ganz so loyalen Mitarbeiter ist es in vielen Fällen sehr einfach, an vertrauliche Dokumente wie Krankendaten, Entgelt und Leistungsbeurteilungen zu kommen. Dazu muss er sich lediglich als Benutzer anmelden, eine Schwachstelle im Berechtigungswesen ausnutzen und sich so Administratorrechte verschaffen. Danach steht einem Zugriff auf alle vertraulichen Daten nichts mehr im Wege.
Wie sich Unternehmen gegen Angriffe kostengünstig schützen können, zeigen diese drei Tipps:
1) Verfahren zum Testen aller Anwendungen entwickeln
Im ersten Schritt sollten Unternehmen alle Anwendungen auflisten und zwar geordnet nach ihrer Wichtigkeit. Anwendungen, die Zugriff auf unternehmenskritische Daten bieten und für die ein umfassender Penetrationstest nötig ist, sollten ganz oben stehen. Mit diesem Verfahren berücksichtigen Unternehmen zum einen alle Anwendungen und sehen zum anderen sofort, welche Anwendungen stärker als andere geschützt werden müssen.
2) Risiko verwalten
Im Regelfall offenbaren Schwachstellen-Tests eine riesige Anzahl von potenziellen Sicherheitslücken. Alle Sicherheitslücken sofort zu beheben ist aus Kosten- und Zeitgründen meist ein Ding der Unmöglichkeit. Trustwave empfiehlt deshalb, einen Risikomanagement-Ansatz zu verfolgen und die Schwachstellen mit Hilfe einer quantitativen Bewertung zu priorisieren. Die Schwachstellen, bei denen eine Ausnutzung am wahrscheinlichsten ist, sollten sofort behoben werden. Alle anderen Anwendungen sollten zunächst mit einer Web-Anwendungs-Firewall (WAF) gesperrt werden, bis die Schwachstellen behoben sind.
3) Beauftragung eines externen Dienstleisters
Unternehmen, die sich aufgrund mangelnder Ressourcen nicht in ausreichendem Maße um die Sicherheit ihrer Web-Anwendungen kümmern können, empfiehlt Trustwave, auf Anbieter für Managed Services und Cloud Services zurückzugreifen. Die entstehenden Kosten sind gut investiertes Geld, denn eine Verletzung der Datensicherheit kann für Unternehmen sehr teuer werden. Eine Studie, die von Forrester und dem Ponemon Institute durchgeführt wurde, zeigt, dass die durchschnittlichen Kosten pro Datensatz – im Falle einer Datensicherheitsverletzung – bei mindestens 300 US-Dollar liegen. Für Unternehmen, die mehrere Tausend Datensätze haben, kann das Ausnützen einer Sicherheitslücke also schnell Kosten in Millionenhöhe verursachen.
Quelle: Trustwave