Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

GefahrMan braucht kein Experte zu sein, um zu wissen, dass Hacks, Systemangriffe und andere digitale Sicherheitslecks niemals etwas Gutes bedeuten. Trotzdem testen fast zwei Drittel (63 Prozent) der deutschen Unternehmen ihre Anwendungen nicht auf kritische Schwachstellen.

Und das, obwohl ein Cyber-Angriff mit enormen Kosten verbunden ist: Bereits zehn Millionen gestohlene Datensätze verursachen einen Schaden bis zu fünf Millionen Dollar, 100 Millionen gestohlene Datensätze über 15 Millionen Dollar. Sicherheitslücken in Unternehmen sind also nicht zu unterschätzen. Arved Graf von Stackelberg, ‎Director Central Europe bei Veracode, hat deshalb die Top 7 Schwachstellen von Unternehmen zusammengetragen.

1. Mangelhafte Code-Qualität

Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar.

2. Kryptographische Probleme

Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker.

3. CRLF Injections

Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf.

4. Cross-Site-Scripting

Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben. Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection.

5. SQL Injections

Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen.

6. Directory Traversals

Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen.

7. Unzureichende Datenvalidierung

Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und „sterilisiert“ werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.

Sicher bleiben

Diese sieben Sicherheitslücken sind nur ein Teil derer, die Ihr Unternehmen betreffen könnten. Deshalb müssen Unternehmen sich umfassend informieren und dürfen nicht davor zurückschrecken, Hilfe in Form von Expertenfachwissen anzunehmen, um das Thema Sicherheit in den Fokus ihrer eigenen Anwendungen zu rücken. Schließlich kann man sich nicht vor Angriffen schützen, mit denen man überhaupt nicht rechnet – und es benötigt nur einen Verstoß, damit Unternehmen sich wünschen, sie hätten sich doch früher darum gekümmert.

https://de.veracode.net/

 
GRID LIST
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Dr. Chris Brennan

IT-Sicherheit: Schwachstelle ist nicht gleich Schwachstelle

Nicht jede Schwachstelle hat das gleiche Bedrohungspotential – Kontextbezug ist…
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet