IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Julian Totzek-HallhuberJulian Totzek-Hallhuber, Solution Architekt beim Anwendungssicherheits-Spezialisten Veracode, nimmt Stellung zum “Panama Papers”-Hack bei der Kanzlei Mossack Fonseca.

Die Kanzlei Mossack Fonseca war Opfer des „Panama Papers“-Datenlecks. Es wurde eine Unmenge von Daten von Steuerhinterziehern veröffentlicht – nach Angaben der Kanzlei durch einen Hack. Nun stellt sich heraus, dass die Systeme der Firma nach wie vor nicht ausreichend gegen Bedrohungen, zum Beispiel durch SQL-Injections gesichert sind. Diese stellen eine ständige Bedrohung für jedermann da. 

Der “Panama Papers”-Hack bei der Kanzlei Mossack Fonseca beweist einmal mehr, dass Sicherheitsverletzungen weltweit enorme finanzielle und politische Auswirkungen haben können – sowohl auf Unternehmen als auch Privatpersonen und sogar Premierminister.

Alle größeren Kanzleien verfügen über eine große Menge an sensiblen Daten ihrer Klienten und sollten sich der von Hackern ausgehenden Risiken eigentlich bewusst sein. Daher ist es vor allem nach dem ursprünglichen Hack völlig unverständlich, dass die Kanzlei ihre Systeme nicht gegen eine solch bekannte Schwachstelle wie SQL-Injections abgesichert hat. SQL-Injections sind für eine Vielzahl von Angriffen in den letzten Jahren verantwortlich. Deshalb wird diese Art von Angriffsvektoren regelmäßig in den OWASP Top 10, den zehn am meisten ausgenutzten Sicherheitslücken, aufgeführt. Es ist schockierend, mit welcher Gleichgültigkeit Unternehmen das Thema IT-Sicherheit angehen und so zum Opfer einer wohlbekannten Sicherheitslücke werden.

Eine Untersuchung von Veracode hat ergeben, dass eine von fünf getesteten Anwendungen mindestens eine SQL-basierte Schwachstelle aufweist. Für Cyber-Kriminelle ist dann ein Zugriff garantiert – ähnlich einem Autodieb, der sicher sein könnte, dass er ins Autoinnere kommt, wenn er nur alle fünf Türen eines Wagens ausprobiert.

Mit ein wenig mehr Aufmerksamkeit können Unternehmen SQL-Injections entschärfen. Allerdings sind regelmäßige Scans sowohl bereits eingeführter als auch neuer Anwendungen nötig, damit Unternehmen sich umfassend gegen bekannte und neu entdeckte Lücken absichern können.

www.veracode.de

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet