Startseite > Security > Veracode: Hitliste der Sicherheitslücken

Hacks, Systemangriffe und andere digitale Sicherheitslecks

Veracode: Hitliste der Sicherheitslücken

11. Dezember 2015, 6:55 Uhr | LANline/jos

Man muss kein Experte sein, um zu wissen, dass Hacks, Systemangriffe und andere digitale Sicherheitslecks niemals etwas Gutes bedeuten. Dennoch testen fast zwei Drittel (63 Prozent) der deutschen Unternehmen ihre Anwendungen nicht auf kritische Schwachstellen, obwohl eine Attacke beim Betroffenen enorme Kosten verursachen kann: Bereits zehn Millionen gestohlene Datensätze verursachen einen Schaden von bis zu fünf Millionen Dollar, 100 Millionen gestohlene Datensätze von über 15 Millionen Dollar. Sicherheitslücken in Unternehmen sind also nicht zu unterschätzen.

Hier die Hitliste der Schwachstellen nach Einschätzung der Sicherheitsexperten von Veracode:

1. Mangelhafte Codequalität

Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Codequalität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwendiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar.

2. Kryptografische Probleme

Sobald es darum geht, wichtige Informationen wie Kennwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android-Apps und 80 Prozent der IOS-Apps haben mit Verschlüsselungsproblemen zu kämpfen. Daher sind sie ein so beliebtes Ziel für Hacker.

3. CRLF Injections

Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website Defacement, Cross-Site Scripting, Hijacking des Web-Browsers und viele weitere. Besonders Android- und Java-basierte Anwendungen sind davon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf.

4. Cross-Site Scripting

Eine weitere Attacke ist das Cross-Site Scripting (auch als XSS bekannt). Eine Gefahr tritt dann ein, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Web-Browser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben. Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf Dotnet oder Java. So enthalten 86 Prozent der PHP-basierenden Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection.

5. SQL Injections

Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der am häufigsten auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen.

6. Directory Traversals

Directory Traversals sind beängstigend, weil weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Web-Browser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Kennwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen.

7. Unzureichende Datenvalidierung

Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und „sterilisiert“ werden. Ist dies nicht der Fall, entsteht eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.

Diese sieben Sicherheitslücken sind laut Veracode nur ein Teil derer, die ein Unternehmen betreffen können. Deshalb müssen Unternehmen sich umfassend informieren und dürfen nicht davor zurückschrecken, Hilfe in Form von Expertenfachwissen anzunehmen, um das Thema Sicherheit in den Fokus ihrer eigenen Anwendungen zu rücken. Schließlich kann man sich nicht vor Angriffen schützen, mit denen man überhaupt nicht rechnet.

Weitere Informationen gibt es unter www.veracode.com.