Schwachstellen bleiben nach wie vor Dreh- und Angelpunkt der Cybersecurity
Pieter Hiele, Hacker auf der HackerOne-Plattform, prognostiziert, wie sich 2022 entwickeln wird.
Die mitunter schwerwiegendsten Cybersecurity-Vorfälle im letzten Jahr waren auf Zero-Day-Schwachstellen in Verbindung mit einem ausnutzbaren Proof of Concept zurückzuführen. Diese Sicherheitslücken fanden sich in weit verbreiteten Software-Lösungen, die von Unternehmen aller Größenordnungen genutzt werden. Während jedoch größere Unternehmen mit dieser Art von Bedrohungen vertraut sind und ihnen wirksam begegnen können, kann es bei anderen Wochen oder gar Monate dauern, bis sie nach einem Vorfall davon erfahren.
Schwachstelle Lieferkette
Insbesondere Angriffe auf die Lieferkette auf Basis von Software-Schwachstellen haben erheblich zugenommen. Und es kann davon auszugegangen werden, dass sich auch weiterhin kritische Schwachstellen in großen Unternehmenslösungen finden, die in der Folge ausgenutzt werden, um so mehrere Organisationen gleichzeitig zu attackieren.
Unternehmen, die jedoch in Bezug auf ihre Sicherheit und ihre Schwachstellen mit größerer Transparenz agieren, genießen in der Regel ein höheres Ansehen in der Branche. Das liegt nicht zuletzt daran, dass dieses Vorgehen für einen gewissen Reifegrad spricht und dazu führt, dass einer Organisation größeres Vertrauen entgegengebracht wird. Es wäre folglich zu begrüßen, wenn noch mehr große Marken diese Offenheit pflegen und in Sachen IT-Sicherheit für mehr Transparenz sorgen würden.
Die Jagd nach Sicherheitslücken
Einige Schwachstellen-Typen in Webanwendungen – so z. B. typische clientseitige Sicherheitslücken wie Cross Site Scripting und Cross-Site Request Forgery – haben in letzter Zeit an Bedeutung verloren, da sie leichter zu identifizieren sind, aber auch von den Browsern leichter abgewehrt werden können. Clientseitige Schwachstellen werden heute viel stärker als noch vor einigen Jahren strukturell entschärft, was dazu beiträgt, die Auswirkungen auf die Sicherheit eines Unternehmens insgesamt zu begrenzen. Hacker hingegen finden serverseitige Schwachstellen, die aufgrund ihrer Komplexität sehr viel schwieriger auf ähnlich strukturelle Weise zu beheben sind.
Ausblick
Um dem grundlegenden Problem von Sicherheitslücken in Software und Konfigurationen zu begegnen, tun Unternehmen gut daran, auf die Unterstützung ethischer Hacker zurückzugreifen. Mit einem Bug-Bounty-Programm lassen sich diese Experten zuverlässig und ohne Risiko in die Suche nach diesen Sicherheitslücken integrieren. Organisationen profitieren von der Expertise und den unterschiedlichen Backgrounds der Experten der Community ethischer Hacker. Ein solches Programm stellt sicher, dass die genutzten Software-Lösungen bestmöglich durchleuchtet und die eigenen Konfigurationen maximal geschützt sind – angesichts der sich verschärfenden Bedrohungslandschaft eine kaum mehr aufzuschiebende Notwendigkeit.