Deutsche Top-Unternehmen unzureichend gegen Cyberattacken geschützt

Rapid7 Labs haben die Ergebnisse ihres Industry-Cyber-Exposure-Reports „Deutsche Börse Prime Standard 320“ veröffentlicht (https://www.rapid7.com/research/report/icer-db-320)  In dem Report zeigt Rapid7 auf, wie gut die 320 als Prime-Standard an der Deutschen Börse gelisteten Unternehmen (DB 320) gegen Cyber-Kriminalität geschützt sind.

Die Untersuchung wurde 2019 im dritten Quartal durchgeführt. Die Ergebnisse zeichnen ein überraschendes Bild: Die untersuchten DB-320-Unternehmen bieten im Durchschnitt eine öffentliche Angriffsfläche von 88 Servern/Geräten, viele der Unternehmen sogar von über 300 Systeme/Geräte. Von den 320 Unternehmen hatten 295 (91%) schwache oder nicht vorhandene Anti-Phishing-Abwehrsysteme (wie beispielsweise DMARC) in der öffentlichen E-Mail-Konfiguration ihrer primären E-Mail-Domänen, wobei 10 (3%) sogar ungültige MX-Datensätze aufwiesen. Dies ist das schwächste Anti-Phishing-Ergebnis aller bisher von Rapid7 durchgeführten „Industry Cyber Exposure Reports“ (ICERs) und übertrifft im negativen Sinne sogar die Ergebnisse der Nikkei-225-Studie (Japan) um 1%.

Besucher von Unternehmensseiten teilweise schlecht geschützt

Während die Mehrheit (94%) der untersuchten großen Unternehmenswebsites SSL/TLS-Verschlüsselung anbieten, wurden diese wichtige Sicherheits- und Datenschutzmaßnahme auf den Hauptwebsites von 21 (6%) der DB 320-Unternehmen nicht implementiert. Dadurch sind die Besucher ungeschützt einer Vielzahl von potenziell verheerenden Angriffen ausgesetzt, welche die Webinhalte während der Übertragung manipulieren können. Die Entdeckung einer solchen Sicherheitslücke selbst bei den führenden Unternehmen Deutschlands deutet darauf hin, dass es wahrscheinlich noch höhere Risiken in kleineren Unternehmen mit weniger personellen und finanziellen Ressourcen zur Sicherung ihrer öffentlichen Internetressourcen gibt.

In 11 von 19 untersuchten Branchen, die von den DB 320 abgedeckt werden, war mindestens mindestens ein Unternehmen mit Malware infiziert. Insbesondere Industrie- und Softwareunternehmen wurden regelmäßige Kompromittierungen festgestellt. Die Vorfälle reichten branchenübergreifend von der Zweckentfremdung von Unternehmensressourcen für Denial-of-Service (DoS)-Angriffe bis hin zu EternalBlue-Kampagnen ähnlich wie WannaCry und NotPetya.

Die meisten der Unternehmen nutzen in ihren internetfähigen Systemen Dienste, die auf veralteter Software aufbauen. Aus dem öffentlichen Domain-Name-Systems- (DNS-)Metadaten konnten bei 82 Unternehmen der DB 320 festgestellt werden, dass sie zwischen zwei und zehn Cloud-Service-Provider nutzen. Diese Informationen können unter anderem dazu verwendet werden, hochwirksame Angriffe zu starten. Hochgradig unsichere Dienste wie Telnet und Windows-SMB-File-Sharing wurden glücklicherweise nur von einer Handvoll Unternehmen eingesetzt.

 

Rapid7 untersuchte signifikante Sicherheitsindikatoren

Um den aktuellen Grad der Angriffe auf Unternehmen in Deutschland zu verstehen, hat Rapid7 die im Internet veröffentlichten Dienste der DB 320 untersucht. Gemessen wurden die Gesamtangriffsfläche (die Anzahl der exponierten Server/Geräte), das Vorhandensein von gefährlichen oder unsicheren Diensten, die Phishing-Abwehrmaßnahmen, schwache Konfigurationen öffentlicher Dienste und Metadaten sowie die Abhängigkeitsrisiken von den Webdiensten Dritter.

Die Industry-Cyber-Exposure-Reports von Rapid7 haben das Ziel, die Widerstandskraft von Unternehmen und Branchen gegen Cyberangriffe aufzuzeigen. Diesen aktuellen Sicherheitszustand zu kennen, hilft Unternehmen, ihre Cyber-Security-Investitionen zu planen und Maßnahmen durchzuführen, um den Schutz gegen Cyber-Bedrohungen zu verbessern. Zudem soll der Report auch einen Anstoß geben, die Zusammenarbeit zwischen der Regierung und der deutschen Wirtschaft zu optimieren, damit User und Unternehmen in gleichem Maße sicherer agieren können.
Tod Beardsley, Forschungsdirektor von Rapid7, sagte: „Es ist erstaunlich, dass gerade in Deutschland, das bei Sicherheitsfragen extrem sensibel agiert und immer wieder auf Sicherheitsprobleme hinweist, viele Unternehmen gravierende Sicherheitsmängel haben. Wir können den Unternehmen nur raten, die Angriffsflächen deutlich zu reduzieren, DMARC zu implementieren, das Risiko durch Drittanbieter-Services zu minimieren und auf den Einsatz von Windows-SMB sowie Telnet prinzipiell zu verzichten.“

#Netzpalaver #Rapid7