Unternehmen setzen falsche Prioritäten für Patches.

Das Risiko für Internet-Nutzer wird immer größer. Denn die Anzahl der Schwachstellen in Programmen steigt rapide, insbesondere an den PCs. Dies zeigt der aktuelle Jahresreport für 2011 von Secunia, einem führenden Anbieter für IT-Sicherheitslösungen. Demnach sollten Unternehmen ihre Strategien zur Fehlerbehebung optimieren, da sie bislang nicht ausreichend sind.

Gemäß der Studie sind zumeist Programme von Drittanbietern für die Zunahme an Schwachstellen verantwortlich. Ihr Anteil stieg von 45 Prozent im Jahr 2006 auf nunmehr 78 Prozent, gemessen an einem typischen PC. Demgegenüber waren Betriebssysteme nur für 12 Prozent und Microsoft-Programme für 10 Prozent aller Sicherheitslücken verantwortlich. Der Jahresreport 2011 zeigt zudem, dass die Anzahl der relevanten Schwachstellen an den PCs auf mehr als 800 stieg – eine Verdreifachung innerhalb weniger Jahre. Mehr als die Hälfte davon bewertete Secunia als hoch oder extrem kritisch.

Sicherheitsstrategie: mangelhaft

Bereits auf dem Weltwirtschaftsforum in Davos beklagten Experten, dass Cyberkriminalität eine der größten Gefahren für die weltweite finanzielle und politische Stabilität in diesem Jahr darstellt. „Viele Unternehmen tun zu wenig, um sich selbst zu helfen“, sagt Stefan Frei, Research Analyst Director bei Secunia. „Indem sie sich nicht um Sicherheitslücken kümmern, lassen sie ihre Systeme weit offen für Cyberkriminelle, die dann einfach sensible Daten auslesen oder verändern können. Dies liegt oft an einer unzureichenden Sicherheitsstrategie: So entsprechen die für Aktualisierungen als wichtig erachteten geschäftskritischen Anwendungen meist überhaupt nicht der Software, die tatsächlich angegriffen wird. Dies sind oft unwichtig erscheinende Programme, die als Einfallstor für die gesamte Infrastruktur dienen.“

Der Jahresreport von Secunia hat auch ermittelt, dass bei einem Unternehmen mit mehr als 600 im Netzwerk installierten Programmen über 50 Prozent der gefährdeten Anwendungen im nächsten Jahr gepatcht sind. Umgekehrt weist mehr als die Hälfte der sicheren Programme ein Jahr später Schwachstellen auf. „Zur Reduzierung von Risiken eignet sich daher eine agile, dynamische Patching-Strategie über alle Programme hinweg deutlich besser als das Update bestimmter, festgelegter Anwendungen“, ergänzt Frei. „Bei 72 Prozent aller Schwachstellen waren bereits am Tag ihrer Veröffentlichung Patches verfügbar, so dass die Unternehmen und Anwender selbst für hohe Sicherheit sorgen können.“

Weitere Ergebnisse

• Schwachstellen halten sich hartnäckig: Der Fünf-Jahres-Trend zeigt, dass die größten 20 Software-Hersteller die Anzahl der Schwachstellen in ihren Produkten nicht senken konnten.
• PCs sind Haupt-Angriffsziele: Hier befinden sich vergleichsweise ungeschützt die wertvollsten Daten wie geschäftskritische oder persönliche Informationen. Da PCs dynamische Umgebungen mit nicht vorhersagbaren Nutzungsmustern darstellen, lassen sie sich nur schwer sichern.
• Komplexität ist der Hauptfeind von Sicherheit: Die 50 meistinstallierten Programme auf einem typischen PC stammen von 12 verschiedenen Herstellern. Daher sind ein Dutzend verschiedener Update-Mechanismen nötig.
• Auch exotische Programme sind riskant: Selbst ungewöhnliche Anwendungen werden von Cyberkriminellen angegriffen, auch wenn sie nicht als attraktives Ziel erscheinen.

Der Secunia Jahresreport 2011

Der Secunia Yearly Report 2011 analysiert die Entwicklung der Softwaresicherheit aus weltweiter, industrieweiter, Unternehmens- und PC-Perspektive. Er präsentiert Daten über Schwachstellen und Exploits sowie die Verfügbarkeit von Patches. Dabei korreliert er diese Informationen mit dem Marktanteil der Programme, um die tatsächliche Gefährdung zu ermitteln. Der Report adressiert die wichtigsten Herausforderungen beim Schutz des Softwareportfolios eines Unternehmens und schlägt Strategien vor, um begrenzte Sicherheitsressourcen gemäß der jeweils aktuellen Bedrohungslage optimal einzusetzen.

www.secunia.com