Sicherheitsbericht von Secunia
Zahl der Schwachstellen steigt um 18 Prozent
Sicherheitslücken in Anwendungen sind eine der Hauptursachen für Sicherheitsvorfälle in Unternehmen. Da die Zahl der Schwachstellen seit Jahren kontinuierlich steigt, verschärft sich die Bedrohungslage stetig. Umso wichtiger ist es, alle eingesetzten Anwendungen zu kennen und auf dem neuesten Stand zu halten.
Insgesamt 15.435 Schwachstellen entdeckten die Sicherheitsexperten von Secunia im vergangenen Jahr in 3.870 untersuchten Anwendungen von 500 Anbietern. Das ist ein Zuwachs um 18 Prozent gegenüber 2013 und eine Fortsetzung des Trends der letzten Jahre, dass die Zahl der Sicherheitslecks stetig zunimmt – um 55 Prozent seit 2009.
Für Unternehmen ist das eine wachsende Herausforderung, müssen sie doch alle in ihrer Infrastruktur eingesetzten Anwendungen im Blick haben, um schnell auf Schwachstellen reagieren zu können. Dass das gar nicht so leicht ist, beschreibt Kasper Lindgaard, Director of Research und Security bei Secunia, anhand eines Beispiels: So würden gerade viele Anbieter von Open-Source-Anwendungen ihre Programme mit Bibliotheken bündeln, sodass Unternehmen eigentlich gar nicht genau wüssten, welche Produkte überhaupt auf ihren Systemen im Einsatz sind. Erschwerend komme hinzu, dass die Hersteller nicht oder nur spät darüber informieren, dass eine Schwachstelle in einer Bibliothek oder Open-Source-Anwendung auch Auswirkungen auf ihre Produkte habe. »Es vergeht zu viel Zeit zwischen der Entdeckung einer OpenSSL-Schwachstelle und der Information des Drittanbieters, dass seine Produkte betroffen sind«, bemängelt Lindgaard.
Elf Prozent der Schwachstellen des vergangenen Jahres stufte Secunia als »sehr kritisch« ein, 0,3 Prozent als »extrem kritisch«. Damit geht die Zahl der schwerwiegenden Lecks einerseits zurück, andererseits wuchs die Zahl der Zero-Day-Exploits aber von 14 auf 25.
Secunia zufolge war immerhin für 83 Prozent der Schwachstellen noch am Tag ihrer Entdeckung ein Patch verfügbar. Die schlechte Nachricht: 30 Tage später gab es gerade mal für weitere 1,3 Prozent der Anwendungen ein Update. »Dies bestätigt, dass Updates bei Herstellern nach dem ersten Tag der Veröffentlichung einer Lücke keine Priorität mehr besitzen«, lautet das Fazit von Lindgaard. Unternehmen bräuchten daher »einen Plan B«, um die Sicherheit ihrer Systeme sicherzustellen.
Ein vergleichsweise gutes Zeugnis stellen die Sicherheitsexperten Microsoft aus. Unter den 50 beliebtesten Anwendungen auf privaten PCs führen sie zu 69 Prozent Microsoft-Programme, nicht zuletzt natürlich die Betriebssysteme des Software-Konzerns. Doch auf diese entfielen im vergangenen Jahr nur 23 Prozent der Sicherheitslecks. 77 Prozent der Lecks waren in den 31 Prozent der Nicht-Microsoft-Anwendungen zu finden.
- Zahl der Schwachstellen steigt um 18 Prozent
- Top 20-Produkte mit den meisten Schwachstellen 2014
