Secunia-Studie: 86 Prozent der Sicherheitslücken in Programmen von Drittanbietern

Kopenhagen (ots) - 86 Prozent aller Schwachstellen, die im Jahr
2012 in den 50 meistgenutzten Programmen entdeckt wurden, stammen von
Drittanbieter-Software (Nicht-Microsoft-Programme). Das ist das
Ergebnis des aktuellen Jahresreports 2013 von Secunia, einem
führenden Lösungsanbieter für das Management von Bedrohungen durch
Sicherheitslücken. Third-party-Software stellt damit die größte
Bedrohung für Endpunkte in Unternehmen und bei privaten Anwendern
dar. Entsprechend sollten sich Schwachstellen-Analyse und
Patch-Management nicht nur auf die bekannten Schnittstellen der
Programme von Microsoft und die gängigsten Anwendungen anderer
Anbieter konzentrieren.

Im Jahr 2011 lag der Prozentsatz von Schwachstellen in den 50
beliebtesten Programmen von Drittanbietern bei nur 78 Prozent. Die
restlichen 14 Prozent der Sicherheitslücken wurden in
Microsoft-Programmen und Windows-Betriebssystemen identifiziert. Das
ist ein deutlich geringerer Anteil als noch im Jahr zuvor, was darauf
hinweist, dass sich Microsoft intensiv mit der Sicherheit seiner
Produkte beschäftigt.

Anzahl der Sicherheitslücken steigt

"Unternehmen sollten Programme von Drittanbietern als Hauptquelle
für Schwachstellen in ihrer IT-Infrastruktur nicht weiter ignorieren
oder unterschätzen. Viele Unternehmen wollen nicht wahr haben, dass
die Zahl der Sicherheitslücken kontinuierlich ansteigt und gefährden
so ihre IT-Infrastruktur: Eine einzige Schwachstelle reicht schon
aus, um ein Unternehmen in Gefahr zu bringen. Dann können weder
Prozesse und Technologien, die Betriebssysteme oder
Microsoft-Programme unterstützen, den erforderlichen Schutz bieten",
sagt Morten R. Stengaard, Secunias Director of Product Management.

Der Secunia-Report belegt weiterhin, dass die Zahl der
Schwachstellen in den 50 meistgenutzten Programmen auf privaten PCs
in den vergangenen fünf Jahren um unglaubliche 98 Prozent angestiegen
ist, auch hier sind Programme von Drittanbietern die Hauptursache.
Daher lautet die Empfehlung, dass Unternehmen deutlich mehr in das
Schwachstellen- und Patch-Management investieren und sich stärker mit
den Ursachen vieler Sicherheitsfragen befassen sollten, nämlich
ungepatchten Schwachstellen.

Auch das Marktforschungsinstitut Gartner hat die Gefahr von
Sicherheitslücken für Unternehmen untersucht. Die Auguren haben ein
starkes Argument für proaktives und schnelleres Patch-Management:
"Bis 2015 werden 80 Prozent der erfolgreichen Angriffe bekannte
Sicherheitslücken ausnutzen und über Sicherheits- und
Überwachungseinrichtungen nachweisbar sein. (...) Anwendungen sind
das Tor zu den Daten, die im Mittelpunkt eines gezielten Angriffs
stehen. Mit dynamischen Application Security Testing
(DAST)-Werkzeugen können Produktions-Anwendungen gescannt werden, um
Schwachstellen aufzudecken. Wenn in einer aktuellen Anwendung eine
Sicherheitslücke auftritt, ist die Datenerfassung ein Risiko und die
Sanierung der Durchlaufzeit dauert lange, in der Regel mehrere
Monate." (*1)

Ignorieren auf eigene Gefahr

Für die Sicherheit von mittelständischen IT-Umgebungen empfiehlt
Gartner das Patchen für alle Systeme, nicht nur der allgemein
üblichen Anwendungen.(*2) Trotzdem aktualisieren IT-Profis oftmals
nur Microsoft-Programme und Betriebssysteme sowie einige wenige
andere Anwendungen. So ignorieren sie die Gefahren, die von
Programmen von Drittanbietern ausgehen, und bringen die Daten des
Unternehmens unnötig in Gefahr: Immerhin wurden in den 50 weltweit am
meisten genutzten Programmen auf privaten PCs nicht weniger als 1.137
Schwachstellen in 18 verschiedenen Programmen entdeckt - das sind
durchschnittlich 63 Sicherheitslücken pro Produkt.

Diesen Bedrohungen muss sich kein Unternehmen aussetzen, denn die
Analyse von Secunia zeigt auch einen positiven Trend auf: Im Jahr
2012 waren für 84 Prozent aller Schwachstellen bereits am Tag ihres
Bekanntwerdens Patches verfügbar. 2011 waren es noch 72 Prozent, also
zeigt sich mittlerweile eine deutliche Verbesserung. Die
wahrscheinlichste Erklärung für das Phänomen der "time-to-patch" ist,
dass mehr Forscher ihre Schwachstellen-Reports mit Software-Anbietern
koordinieren.

"Das zeigt, dass es möglich ist, die meisten Schwachstellen zu
reparieren. Es gibt keine Entschuldigung dafür, keine Patches
durchzuführen. Um die Vorteile der schnelleren Patching-Verfügbarkeit
zu nutzen, müssen Unternehmen wissen, welche Programme sich aktuell
auf ihren Systemen befinden, und welche dieser Programme unsicher
sind, um dann eine intelligente und priorisierte Aktualisierung
durchzuführen", erläutert Morten R. Stengaard.

(*1) Gartner: "Adaption Vulnerability Management to Advanced
Threats", August 2012

(*2) Gartner: "Best Practices for Securing Midmarket IT
Environments", Februar 2013

Wichtige Ergebnisse im Überblick
- Für den Schwachstellen-Anstieg sind hauptsächlich
Programme von Drittanbietern verantwortlich, nicht
Microsoft-Programme.
- Der Fünf-Jahres-Trend zeigt, dass der Anteil der
Schwachstellen bei Drittanbieter-Programmen von 57 Prozent
in 2007 auf 86 Prozent in 2012 gestiegen ist. Allein von
2011 auf 2012 stieg die Zahl von 78 Prozent auf 86
Prozent.
- 86 Prozent aller Schwachstellen 2012 sind auf
Drittanwender-Programme zurückzuführen, dabei wurden 5,5
Prozent der Sicherheitslücken in Betriebssystemen
festgestellt und 8,5 Prozent in Microsoft-Programmen. 2011
waren es noch 78 Prozent in Nicht-Microsoft-Programmen, 10
Prozent in Betriebssystemen und 12 Prozent in
Microsoft-Programmen.
- Insgesamt wurden im Jahr 2012 1.137 Sicherheitslücken in
den 50 meistinstallierten Programmen entdeckt, was im
Fünf-Jahres-Trend einem Anstieg von 98 Prozent entspricht.
78,8 Prozent dieser Schwachstellen ordnet Secunia als
"sehr kritisch" und 5,3 Prozent als "extrem kritisch" ein.
- Die 1.137 Schwachstellen in den 50 meistinstallierten
Programmen wurden in 18 verschiedenen Produkten
festgestellt, das entspricht 63 Sicherheitslücken je
betroffenem Produkt.
- Im Jahr 2012 wurden 2.503 gefährdete Produkte mit
insgesamt 9.776 Schwachstellen entdeckt, das sind
durchschnittlich vier Schwachstellen je Produkt.
- Für 84 Prozent aller Schwachstellen waren bereits am Tag
der Veröffentlichung Patches für Endpunkte für Endanwender
und Unternehmen verfügbar, 2011 waren es 72 Prozent.

Der Secunia Jahresreport 2013

Der Secunia Yearly Report 2013 analysiert die Entwicklung der
Software-Sicherheit aus weltweiter, industrieweiter Unternehmens- und
Endpunkt-Perspektive. Er präsentiert Daten über Schwachstellen und
Exploits sowie die Verfügbarkeit von Patches. Dabei korreliert er
diese Informationen mit dem Marktanteil der Programme, um die
tatsächliche Gefährdung zu ermitteln.

Bildmaterial finden Sie hier: https://ftp.ffpr.de/_uVdDoPnuU2wdGR

Secunia wurde 2002 gegründet und zählt heute zu den anerkanntesten
und am schnellsten expandierenden Anbietern von Lösungen zur
Sicherheits- und Schwachstellensuche in gewerblich genutzten und
privaten IT-Systemen. Secunia beschäftigt derzeit mehr als 150
Mitarbeiter und ist Mitglied führender Branchen-Institutionen wie
FIRST, CVEs Editorial Board, ISF und Online Trust Alliance. Näheres
hierzu unter http://www.secunia.com

Follow Secunia
- Twitter: http://twitter.com/Secunia
- Facebook: http://www.facebook.com/Secunia
- Blog: http://secunia.com/blog/
- LinkedIn: http://www.linkedin.com/company/secunia

Pressekontakt:
Fink & Fuchs Public Relations
Tanja Diallo
Tel: 0611-74 131 64
E-Mail: secunia@ffpr.de