Wie Angreifer bei Webanwendungen durch Schwachstellen schlüpfen

Wie Angreifer bei Webanwendungen durch Schwachstellen schlüpfen - Bild von Mohamed Hassan auf Pixabay

Beitrag teilen

Schwachstellen bei der Zugangskontrolle und das Risiko der Offenlegung von Daten sind die weit verbreitetsten Sicherheitsmängel in unternehmensintern entwickelten Webanwendungen. Dies zeigt eine aktuelle Analyse im Zeitraum 2021 bis 2023. Das macht es Angreifern zu leicht beim eindringen in Unternehmen. 

Security-Spezialist Kaspersky untersuchte für seinen Report Schwachstellen in selbst entwickelten Webanwendungen von Unternehmen aus den Bereichen IT, Behörden, Versicherungen, Telekommunikation, Kryptowährungen, E-Commerce und Gesundheitswesen.

Anzeige

Selbst entwickelte Webanwendungen fehlerhaft

Der Großteil (70 Prozent) der gefundenen Schwachstellen betrifft die Bereiche Datenschutz hinsichtlich vertraulicher Informationen wie Passwörter, Kreditkartendaten, Gesundheitsakten, persönliche Daten und vertrauliche Geschäftsinformationen oder die Zugriffskontrolle. Über letztere können Cyberkriminelle Website-Richtlinien umgehen und dadurch beispielsweise Daten ändern oder löschen.

In der Mehrzahl der untersuchten Anwendungen fanden die Experten insgesamt mehrere Dutzend Schwachstellen, die die Zugriffskontrolle und den Datenschutz betrafen; viele, die der höchsten Risikostufe zugeordnet wurden, standen im Zusammenhang mit SQL-Injektionen. Einige der analysierten Schwachstellen wiesen sogar ein hohes Risiko auf. So handelte es sich bei 88 Prozent aller analysierten SQL-Injection-Schwachstellen um solche mit hohem Risiko; weiterhin wurden 78 Prozent im Bereich schwache Passwörter als hochriskant eingestuft.

Schwachstellen, schlechte Passwörter und mehr

🔎 40 bis 70 Prozent der untersuchten Webanwendungen enthalten die klassischen Fehler, wie etwa eine defekte Zugangskontrolle (Bild: Kaspersky).

Außerdem wiesen 22 Prozent aller von Kaspersky untersuchten Webanwendungen schwache Passwörter auf. Ein möglicher Grund ist, dass es sich bei den in der Stichprobe enthaltenen Apps möglicherweise um Testversionen und nicht um tatsächliche Live-Systeme handelte. Weitere Arten von gefunden Schwachstellen und ihr Vorkommen in unternehmensintern entwickelten Webanwendungen: Oxana Andreeva, Sicherheitsexpertin im Team von Kaspersky Security Assessment, kommentiert:

„Die Untersuchung wurde unter Berücksichtigung der häufigsten Schwachstellen in Webanwendungen, die inhouse von Unternehmen entwickelt wurden, sowie ihres Risikogrades erstellt. Angreifer könnten dadurch Daten zur Nutzerauthentifizierung stehlen oder schädlichen Code auf dem Server ausführen. Jede Schwachstelle hat unterschiedlich starke Auswirkungen auf die Geschäftskontinuität und die Ausfallsicherheit. Unternehmen sollten daher auf die Sicherheit bei der Entwicklung von Webanwendungen achten und diese stetig überprüfen.“

Mehr Schutz von unternehmensintern entwickelten Webanwendungen

  • Einen Secure Software Development Lifecycle (SSDLC) implementieren.
  • Regelmäßig Bewertungen der Anwendungssicherheit durchführen und entsprechende Maßnahmen ergreifen.
  • Den Betrieb der Anwendungen überwachen.
Mehr bei Sophos.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen