2018-09-10 07:42:07

IT-Sicherheitsschwachstellen in Unternehmen

Rapid7 veröffentlicht heute seinen neuen Sicherheitsreport, "Under the Hoodie 2018". Der Bericht will die Praxis von Penetrationstests entmystifizieren und beschreibt, welche Sicherheitslücken Pentester in den vergangenen 12 Monaten am häufigsten bei ihren Kunden beobachtet haben, von Software-Schwachstellen über Fehlkonfigurationen im Unternehmensnetzwerk bis hin zu unsicheren Passwörtern.

Insgesamt konnten die Pentester von Rapid7 bei 84% ihrer Einsätze im Auftrag der Kunden mindestens eine produktive Schwachstelle ausnutzen. Diese Zahl steigt bei rein intern durchgeführten Penetrationstests sogar auf 96% - das bedeutet, nur 4% der so untersuchten Unternehmen wiesen keine Software-Sicherheitslücke auf.

In ähnlicher Weise waren Pentester in 80% der Fälle in der Lage, mindestens eine Netzwerkfehlkonfiguration zu missbrauchen. Bei internen Tests konnten sie bei fast jedem ihrer Einsätze (96%) eine Fehlkonfiguration finden. 

Darüber hinaus gelang es den Auftragshackern, bei 53% ihrer Untersuchungen mindestens einen Satz von Anmeldedaten zu stehlen. Konnten sie eine LAN- oder WLAN-Verbindung ausnutzen, dann schafften sie es sogar in 86% der Einsätze, Logindaten von Unternehmensnutzern zu erfassen.

28% aller Tests endeten im Sicherheits-Supergau: Hier konnten die Pentester schließlich die vollständige administrative Kontrolle über das Netzwerk der Zielorganisation ergreifen. Bei internen Pentests, wo Schwachstellen, Fehlkonfigurationen und Login-Daten vergleichsweise einfacher zu finden sind, stieg dieser Prozentsatz sogar auf 67%.

Die Mehrheit der Rapid7-Pentester konnten ihre Angriffe völlig ungestört ausführen. In 61% der Fälle bemerkte das untersuchte Unternehmen, das den Pentest in Auftrag gegeben hatte, die Eindringlinge nicht.

Der Bericht von Rapid7 basiert auf 268 Pentesting-Einsätzen im Zeitraum September 2017 bis Juni 2018 bei Unternehmen aller Größen und aus allen Branchen.

Penetrationstests sind wichtiger Teil eines umfassenden Sicherheitsprogramms. Ziel ist das Erkennen von Sicherheitslücken einer Organisation und ein Verständnis dazu, wie Angreifer diese ausnutzen können.  

Den vollständigen Bericht finden Sie hier: https://www.rapid7.com/info/under-the-hoodie/

mat

Druckversion

Zum Thema