Orange Security Report: Viele alte Schwachstellen noch offen

Laut der neuesten Studie von Orange Security waren 13 Prozent der Schwachstellen, die in heutigen Unternehmensnetzen gefunden werden, schon 2012 bekannt, fast die Hälfte aller Lücken ist älter als fünf Jahre – Tendenz zunehmend. Abhilfe kann professionelles Schwachstellenmanagement wie die Greenbone Produktfamilie schaffen.

Der Orange Security Navigator nimmt sich jedes Jahr auf vielen Seiten die aktuelle Bedrohungslage vor. In der neuesten Ausgabe kommt der Hersteller von Sicherheitssoftware zu erstaunlichen Einsichten hinsichtlich des Alters der Schwachstellen in Unternehmen. Die ältesten Risiken bestünden schon seit 20 Jahren oder mehr, schreibt Orange, und auch das Patchen lasse immer länger auf sich warten.

Auch jüngst füllten eigentlich schon lange gefixte Probleme die Schlagzeilen: Eine seit Jahren geschlossene Sicherheitslücke in VMWares ESXi-Server wurde aktiv von Angreifern ausgenutzt, laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden dabei tausende Server mit Ransomware infiziert und verschlüsselt – Details hier im Greenbone-Blog.

Auch Orange Security kann davon ein Lied singen: „Unsere Pentester finden Schwachstellen, die zuerst in 2010 identifiziert wurden, (…) [und] Probleme, deren Ursachen bis 1999 zurückreichen. (…) Das ist ein sehr besorgniserregendes Ergebnis.“ Im Falle des ESXi-Vorfalls war die Schwachstelle vom Hersteller bereits im Februar 2021 geschlossen worden, doch nicht alle Anwender hatten die notwendigen Updates eingespielt – genau hier helfen Greenbones Produkte, indem Sie aktiv Ihre Systeme nach bekannten, offenen Sicherheitslücken absuchen.

Das wird zunehmend wichtiger, weil auch laut Orange immer mehr kritische Lücken manchmal sechs Monate oder länger offenstehen, In den letzten Jahren sei die durchschnittliche Zeit bis zu einem Fix um 241 Prozent gestiegen. Immerhin gehe das Patchen bei schwerwiegenden Schwachstellen zwar im Durchschnitt um ein Drittel schneller als bei weniger kritischen Bedrohungen, Sorgen bereite aber die maximale notwendige Zeit, die bis zum Einspielen eines Patches verginge: Egal ob kritisch oder nicht, manche Patches einzuspielen dauert Jahre.

Nur ein Fünftel aller gefundenen Schwachstellen würden in weniger als 30 Tagen behoben, erklärt die Studie, 80 % stünden mehr als einen Monat offen. Im Durchschnitt dauere es ganze 215 Tage bis Lücken geschlossen werden. Von den Schwachstellen, die 1000 Tage auf einen Patch warten, seien 16% als schwerwiegend klassifiziert, drei Viertel von mittlerer Gefahr. Bei der ESXi-Lücke gab es seit zwei Jahren eine Warnung, eine Einstufung als hohes Risiko und auch einen Patch zur Fehlerbehebung. Trotzdem wurden eine Vielzahl von Organisationen durch Ausnutzung der Schwachstelle erfolgreich angegriffen.

Das Problem ist bekannt: Aufforderungen zum Beispiel der Datenschutz-Aufsichtsbehörden Schwachstellen- und Patchmanagement zu betreiben sind regelmäßig zu finden. „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.“ Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, Februar 2022.

Bei der Cybersecurity stünden Unternehmen vor großen Herausforderungen: Jeden Tag würden mehr als 22 Schwachstellen mit CVE veröffentlicht, mit einem durchschnittlichen CVSS Score von 7 oder mehr. Ohne professionelles Schwachstellenmanagement sei das nicht mehr zu handhaben, erklärt auch Orange.

Umso wichtiger dabei ist das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware– oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab. Unsere Security Experten forschen seit über 10 Jahren an dem Thema, so dass wir Risiken auch in gewachsenen Strukturen erkennen können.

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine hundertprozentige Sicherheit jedoch gibt es nicht, und es gibt auch keine einzelne Maßnahme, die genügt, um das jeweilige Maximum an Sicherheit zu erreichen – Schwachstellenmanagement ist ein wichtiger Baustein. Erst die Gesamtheit der eingesetzten Systeme, zusammen mit umfassenden Datenschutz- und Cybersicherheitskonzepten ist die bestmögliche Sicherheit.