Anzeige

Penetrationstest

Ob Schwachstellen in Webanwendungen oder öffentlich verfügbare Verwaltungsschnittstellen mit schwachen Passwörtern – die Grenzen (Perimeter) von Unternehmensnetzwerken sind anfällig für Cyberangriffe.

So konnten laut einer von Kaspersky Lab durchgeführten Penetrationstest-Analyse drei Viertel (73 Prozent) der erfolgreichen Angriffe von außen auf die Netzwerkperimeter einer Organisation über schwachstellenanfällige Webanwendungen durchgeführt werden. Dabei sind die Webanwendungen von staatlichen Organisationen am unsichersten. Das Gesamtschutzniveau gegenüber externen Angriffen muss zudem bei fast der Hälfte der untersuchten Unternehmen als gering oder extrem gering eingestuft werden.

Die Experten von Kaspersky Lab führen jährlich eine Penetrationstest-Analyse möglicher Angriffsszenarien durch. Ziel des Berichts ,Security assessement of corporate information systems in 2017‘ ist es, IT-Sicherheitsspezialisten auf relevante Schwachstellen und Angriffsvektoren gegen Unternehmensnetzwerke aufmerksam zu machen und damit den Schutz ihrer Organisation zu verbessern. So können finanzielle, betriebliche und Reputationsschäden vermieden werden.

Die Kaspersky-Analyse für das Jahr 2017 zeigt:

  • Bei externen Angriffen lässt sich das Gesamtschutzniveau bei 43 Prozent der analysierten Unternehmen als niedrig oder extrem niedrig einstufen.
     
  • Drei viertel (73 Prozent) der erfolgreich durchgeführten Angriffe von außen auf die Netzwerkperimeter einer Organisation wurden über schwachstellenanfällige Webanwendungen durchgeführt – beispielsweise mittels beliebigem Datei-Upload oder SQL beziehungsweise Code-Injektion.
     
  • Ein weiteres häufig verwendetes Einfallstor: Angriffe auf öffentlich verfügbare Verwaltungsschnittstellen mit schwachen oder standardmäßigen Zugangsdaten – zum Beispiel das Netzwerkprotokoll SNMP (Simple Network Management Protocol), das häufig bei Netzwerkelementen wie Router, Server oder Switches zu Einsatz kommt.
     
  • In 29 Prozent der externen Penetrationstest-Projekte konnten die Experten von Kaspersky Lab die höchsten Zugriffsrechte der gesamten IT-Infrastruktur erlangen, einschließlich Administratoren-Zugriff auf wichtige Unternehmenssysteme, Server, Netzwerk-Equipment und Mitarbeiter-Workstations, Das Problem: derart könnten auch Angreifer agieren, die keinen Zugriff auf interne Informationen des anvisierten Opferunternehmens verfügen und über das Internet agieren.
     
  • Auch wurde das Schutzniveau gegen interne Angreifer in 93 Prozent der untersuchten Unternehmen als niedrig oder extrem niedrig eingestuft.
     
  • In 86 Prozent der untersuchten Unternehmen konnten die höchsten Zugriffsrechte im internen Netzwerk erlangt werden; hierbei waren in 42 Prozent der Fälle nur zwei Angriffsschritte nötig.
     
  • Im Durchschnitt konnten die Experten über zwei bis drei Angriffsvektoren in den jeweiligen Penetrationstest-Projekten die höchsten Zugriffsrechte erlangen. Damit könnten Angreifer die vollständige Kontrolle über das gesamte Netzwerk einschließlich geschäftskritischer Systeme erhalten.

Befund: Updates werden nicht eingespielt

Die Sicherheitslücke MS17-010, die sowohl bei zielgerichteten Angriffen als auch bei Ransomware-Attacken wie WannaCry und NotPetya beziehungsweise ExPetr zum Einsatz kam, fand sich in 75 Prozent der Unternehmen, die sich einem internen Kaspersky-Penetrationstest unterzogen hatten – und das nachdem bereits Informationen zur Sicherheitslücke veröffentlicht wurden. Einige der Organisationen hatten ihre Windows-Systeme sieben bis acht Monaten nach der Veröffentlichung des Patches noch immer nicht aktualisiert. Die veraltete Software wurde bei 86 Prozent der Unternehmen an den Netzwerkperimetern und bei 80 Prozent der Unternehmen innerhalb des internen Netzwerks gefunden. Die Folge: Unternehmen können aufgrund der mangelhaften Implementierung grundlegender IT-Sicherheitsprozesse zu leichten Angriffszielen werden.

Dabei sind laut der Kaspersky-Untersuchung die Webanwendungen von staatlichen Organisationen am unsichersten: in allen analysierten Anwendungen (100 Prozent) wurden hochriskante Schwachstellen gefunden. Dagegen sind E-Commerce-Anwendungen besser vor einer möglichen externen Störung geschützt, nur etwas mehr als ein Viertel weist hier hochriskante Schwachstellen auf.

„Die qualitative Implementierung einfacher Sicherheitsmaßnahmen wie Netzwerkfilter und Passwortrichtlinien würde die Sicherheit deutlich erhöhen“, so Sergey Okhotin, Senior Security Analyst of Security Services Analysis bei Kaspersky Lab. „Die Hälfte der Angriffsvektoren hätte beispielsweise verhindert werden können, wäre der Zugriff auf Verwaltungsschnittstellen eingeschränkt gewesen.“

Empfehlungen für ein verbessertes Sicherheitsniveau

Unternehmen sollten:

  • auf die Sicherheit von Webanwendungen, regelmäßige Software-Updates, Passwortschutz und Firewall-Regeln achten;
     
  • regelmäßige Sicherheitsbewertungen (Security Assessments) ihrer IT-Infrastruktur (einschließlich der Anwendungen) durchführen;
     
  • sicherstellen, dass Sicherheitsvorfälle so früh wie möglich erkannt werden, damit durch. eine schnelle Reaktion mögliche Schäden wesentlich gemildert werden. Organisationen, in denen etablierte Prozesse für die Sicherheitsbewertung, das Schwachstellenmanagement und die Erkennung von Sicherheitsvorfällen vorhanden sind, sollten Tests vom Typ ,Red Teaming‘ in Betracht ziehen. So kann das Schutzniveau von Infrastrukturen überprüft werden. Zudem können IT-Sicherheitsteams, Angriffe erkennen und unter realen Bedingungen darauf reagieren.

Weitere Ergebnisse der Penetrationstests finden sie hier.
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!