Kaspersky Lab dokumentiert IT-Sicherheitslücken in Europa | Kaspersky Lab DE

Kaspersky Lab dokumentiert IT-Sicherheitslücken in Europa

24. September 2013
Business-News, Viren-News

Unternehmen und Behörden sind unzureichend vor Gefahren durch ältere Sicherheitslücken und Social-Engineering geschützt

Moskau/lngolstadt, 24. September 2013 - Einige europäische Organisationen übersehen Gefahren, die von längst bekannten IT-Schwachstellen herrühren oder auf Social Engineering zurückzuführen sind. Zu diesem Schluss kommt eine Untersuchung zur IT-Sicherheitslage, die Kaspersky Lab zusammen mit Outpost24, einem schwedischen Anbieter für IT-Schwachstellenanalyse, durchgeführt hat. Dabei wurden weltweite ungepatchte Schwachstellen analysiert sowie ein Social-Engineering-Experiment durchgeführt.

Software-Schwachstellen – Bekannte, jedoch zu wenig bekämpfte Gefahr

Im Durchschnitt dauert es 60 bis 70 Tage, bis entdeckte IT-Sicherheitslücken im gesamten Netzwerk wieder geschlossen sind. Im schlechtesten Fall sollten alle kritischen IT-Sicherheitslücken in Unternehmensnetzwerken innerhalb von drei Monaten wieder geschlossen sein. Doch 77 Prozent aller Schwachstellen, die diese Frist überschreiten, sind auch nach einem Jahr noch nicht beseitigt. Die Experten von Kaspersky Lab und Outpost24 haben Daten über Schwachstellen aus den vergangenen drei Jahren untersucht und konnten auch kritische Schwachstellen aus dem Jahr 2010 nachweisen. Einige der untersuchten Netzwerke zeigten sogar jahrzehntealte Sicherheitslücken. Und das, obwohl dort spezielle Sicherheitsvorkehrungen im Einsatz sind.

Einfallstor USB-Stick – Ein Experiment

Neben diesen nicht geschlossenen Sicherheitslücken sind Mitarbeiter für Social-Engineering-Tricks anfällig. Das zeigt ein Experiment, das als Teil der Untersuchung von David Jacoby, Senior Security Researcher des Global Research & Analysis Teams bei Kaspersky Lab, durchgeführt wurde. Er wollte wissen, wie einfach es ist, seinen USB-Stick an einen fremden Rechner anzuschließen, und versuchte es bei drei Hotels, sechs Regierungsorganisationen und zwei großen privatgeführten Unternehmen. Er bat dort Mitarbeiter, ihm beim Ausdruck seines Lebenslaufs behilflich zu sein, den er angeblich zu Hause vergessen hatte, aber gleich für einen Termin benötigen würde. Den Lebenslauf führte er auf seinem USB-Stick mit.

Das Ergebnis: Bei immerhin einem von den drei untersuchten Hotels unterschiedlicher Ketten wurde Jacoby geholfen und der unbekannte USB-Stick an den Hotelrechner angeschlossen. Auch eines der privaten Unternehmen ermöglichte den Anschluss des USB-Sticks. Am erfolgsreichsten mit seiner Bitte war Jacoby bei den Mitarbeitern der sechs untersuchten Behörden und Institutionen. Alle wollten helfen und schlossen den USB-Stick an die Rechner der Organisation an. In vier Fällen führte dies direkt zum Erfolg, in zwei Fällen hatten die Rechner einen gesperrten USB-Anschluss. Die Mitarbeiter waren stattdessen aber bereit, ein per E-Mail gesendetes PDF-Dokument des Lebenslaufs zu drucken – ungeachtet der zahlreichen Gefahrenquellen, denen PDF-Dateien ausgesetzt sein kann.

„Ich war wirklich überrascht, dass die Sicherheitsvorschriften von Hotels und privat geführten Unternehmen offenbar strenger sind als die von Behörden“, so Jacoby. „Insgesamt muss man wohl von einem echten Sicherheitsproblem sprechen. Das Ergebnis unserer Untersuchung ist auf alle Länder übertragbar, denn überall ist der Zeitraum zwischen der Feststellung einer IT-Sicherheitslücke und deren Behebung viel zu lang. Doch auch jene, die heute schon an die Schwachstellen von morgen denken, dürfen nicht vergessen, in die Schulung ihrer Mitarbeiter zu investieren. Das zeigen die Erfahrungen aus meinem kleinen Experiment mit dem USB-Stick.“

Der vollständige Bericht von Kaspersky Lab und Outpost24 findet sich auf Englisch unter http://www.securelist.com/en/downloads/vlpdfs/exposing_the_security_weaknesses_we_tend_to_overlook.pdf

Ein Blogbeitrag zum Thema ist unter http://www.securelist.com/en/blog/8132/Exposing_the_security_weaknesses_we_tend_to_overlook abrufbar.


Nützliche Links:

 Share this page