Anzeige

Mythos

Imperva präsentiert in einer neuen Studie umfangreiche Ergebnisse zur Sicherheit von Datenbanken: Weltweit sind 46 % aller On-Premise-Datenbanken anfällig für Angriffe, mit durchschnittlich 26 Schwachstellen pro Datenbank. Die Längsschnittstudie scannte dafür über fünf Jahre hinweg fast 27.000 Datenbanken. 

Mehr als die Hälfte (56 %) der gefundenen Schwachstellen wurde gemäß den Richtlinien des National Institute of Standards and Technology (NIST) als „hoch“ oder „kritisch“ eingestuft. Die Studienergebnisse deuten darauf hin, dass viele Unternehmen der Sicherheit ihrer Daten eine geringe Priorität einräumen und routinemäßiges Patching vernachlässigen. Einige der CVEs (Common Vulnerabilities and Exposures) blieben laut den Cybersecurity-Experten drei oder mehr Jahre auf den lokalen Datenbanken unerkannt.

„Während Unternehmen öffentlich betonen, wie viel sie in die Sicherheit investieren, zeigen unsere umfangreichen Untersuchungen, dass ihre Maßnahmen meistens nicht erfolgreich sind", konstatiert Elad Erez, Chief Innovation Officer bei Imperva. „Allzu oft vernachlässigen Unternehmen die Datenbanksicherheit, weil sie sich auf systemeigene Sicherheitsmechanismen oder veraltete Prozesse verlassen. Und obwohl wir weiterhin eine starke Verlagerung hin zu Cloud-Datenbanken beobachten, ist die besorgniserregende Realität, dass die meisten Unternehmen weiterhin auf On-Premise-Datenbanken setzen, wo sie dann ihre sensibelsten Daten speichern. In Anbetracht der Tatsache, dass fast jede zweite On-Premise-Datenbank anfällig ist, werden die gemeldeten Datenschutzverletzungen aller Voraussicht nach weiter ansteigen und auch die Tragweite dieser Fälle wird zunehmen.“

Durchschnittlich 64 Schwachstellen pro Datenbank in Deutschland 

Die regionale Analyse zeigt erhebliche Unterschiede zwischen den einzelnen Ländern: Die Anzahl an gefährdeten Datenbanken ist in Deutschland mit 19 % deutlich geringer als in Ländern wie Frankreich (84 %), Australien (65 %) oder Singapur (64 %). Hinsichtlich der Anzahl an Schwachstellen pro Datenbank im Durchschnitt besetzen deutsche Datenbanken mit 64 Schwachstellen die oberen Ränge. Nur Frankreich (72), China (74) oder Mexiko (70) weisen im Durchschnitt mehr Schwachstellen pro Datenbank auf. 

Die noch nie dagewesene Anzahl von Schwachstellen in Datenbanken bietet Angreifern ein weites Feld an Möglichkeiten. Anfang dieses Jahres belegte eine weitere Studie des Imperva Forschungsteams, dass die Zahl der Datenschutzverletzungen jährlich um 30 % steigt, während die Zahl der kompromittierten Datensätze um durchschnittlich 224 % zunimmt. 

Webanwendungen als Einfallstor für Attacken auf Datenbanken 

Bei nicht öffentlich zugänglichen Datenbanken greifen Hacker auf eine Vielzahl von Tools wie SQL-Injektionen (SQLi) zurück, um Schwachstellen in Webanwendungen auszunutzen, die mit der Datenbank verbunden sind. In den letzten Jahren ist diese Angriffsart zu einer ständigen Bedrohung für Unternehmen geworden – fast 50 % der Sicherheitsverletzungen hatten ihren Ursprung in der Anwendungsebene. Unabhängig davon können Angreifer Phishing und Malware einsetzen, um im internen Netzwerk Fuß zu fassen und dann auf die anfällige Datenbank überzugehen.

Noch größer ist die Bedrohung für öffentliche Datenbanken, denn Angriffe sind hier mit noch weniger Aufwand verbunden. Angreifer können über Tools wie Shodan verwundbare Ziele suchen und Exploit-Code über Repositories wie ExploitDB beschaffen, die Hunderte von Exploit-POC-Codes enthalten. Von dort aus kann der Angreifer das Exploit von überall aus ausführen, da die Datenbank eine öffentliche IP-Adresse hat.

Ziel sind personenbezogene Daten, Anmeldedaten und Kreditkarten 

Angesichts der überwältigenden Anzahl von Schwachstellen in On-Premise-Datenbanken ist es nicht verwunderlich, dass die Anzahl der Fälle von Datenverlusten im 12-Monats-Durchschnitt um 15 % gestiegen ist. Eine Analyse der Datenschutzverletzungen seit 2017 zeigt, dass es sich bei der Mehrheit der gestohlenen Daten um personenbezogene Daten (74 %) handelt; Anmeldedaten (15 %) und Kreditkartendaten (10 %) sind jedoch ebenfalls lukrative Ziele sind.

„Unternehmen machen es den Hackern zu leicht“, ergänzt Erez. „Angreifer haben jetzt Zugang zu einer Vielzahl von Tools, die es ihnen ermöglichen, eine ganze Datenbank zu übernehmen oder sich über die Datenbank als Stützpunkt seitlich im Netzwerk zu bewegen. Die explosionsartige Zunahme von Datenschutzverletzungen ist ein Beweis dafür, dass Unternehmen nicht genug Zeit und Ressourcen investieren, um ihre Daten wirklich zu schützen. Die Antwort liegt in der Entwicklung einer Sicherheitsstrategie, die den Schutz der Daten in den Mittelpunkt stellt.“

www.imperva.com/de
 


Weitere Artikel

EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?
DSGVO

Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung,…
Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.