Löchrige Anwendungen in Großunternehmen
Fast jede Software mit Sicherheitslücken
Über 80 Prozent der in Großunternehmen eingesetzten Anwendungen haben mindestens eine Schwachstelle. Zu diesem erschreckenden Ergebnis kommt der jetzt von HP veröffentlichte Cyber Risk Report 2013.
Die Ursache für die Probleme lag bei den untersuchten Programmen immer außerhalb des jeweiligen Quellcodes und wurde beispielsweise durch fehlerhafte Server-Konfigurationen, fehlerhafte Dateisysteme oder zur Anwendung gehörige Beispiel-Dateien verursacht. Die Ursache liegt für die Studienautoren auf der Hand: Auch hervorragend programmierte Software kann angreifbar werden, wenn sie falsch konfiguriert wird. »Angreifer sind heute geschickter als je zuvor. Zudem arbeiten sie effektiver zusammen als früher, wenn es darum geht, die Schwachstellen auszunutzen, die sich in den immer größer werdenden Angriffsflächen der Unternehmen auftun«, sagt Jacob West, Chief Technology Officer. Enterprise Security Products, HP. »Unternehmen müssen sich zusammentun und sich untereinander über Sicherheits-Informationen und -Taktiken austauschen, um die kriminellen Machenschaften des wachsenden Cyberkriminalitätsmarktes zu stören.«
Die Studie zeigt zudem, dass unklare und voneinander abweichende Definitionen des Begriffs Malware die Analyse von Compliance-Risiken erschweren. Beim Untersuchen von über 500.000 mobilen Anwendungen für das Betriebssystem Android entdeckte HP schwerwiegende Unterschiede zwischen dem, was Antiviren-Software-Hersteller als »Malware« definieren, und den entsprechenden Definitionen von Herstellern mobiler Plattformen. Darüber hinaus nutzen 46 Prozent aller untersuchten mobilen Anwendungen Verschlüsselungs-Technologien auf falsche Art und Weise. HP-Untersuchungen zeigen, dass viele Entwickler zum Beispiel ganz auf die Verschlüsselung von Daten verzichten, die auf mobilen Geräten gespeichert werden. Andere verschlüsseln die Daten zwar, nutzen dafür aber schwache Algorithmen - oder setzen starke Algorithmen so fehlerhaft ein, dass diese unnütz werden. Diese beiden Faktoren führen laut der Studie dazu, dass bei der Sicherheit mobiler Anwendungen in Unternehmen eine Grauzone herrscht, welche Sicherheitslecks unentdeckt bleiben können.
Unternehmen und Entwickler müssen sich laut HP ständig der Sicherheitslücken bewusst sein, die in Laufzeitumgebungen oder anderer Software Dritter vorhanden sein können - das gelte ganz besonders für den Umgang mit hybriden, mobilen Entwicklungsplattformen. Deshalb sind robuste Sicherheits-Richtlinien erforderlich, die dazu beitragen, die Integrität von Anwendungen und die Privatsphäre von Nutzern zu schützen.
Lesen Sie mehr zum Thema
