Schwachstellen bei der Zugangskontrolle und das Risiko der Offenlegung von Daten sind die weit verbreitetsten Sicherheitsmängel in unternehmensintern entwickelten Webanwendungen. Dies zeigt eine aktuelle Analyse im Zeitraum 2021 bis 2023. Das macht es Angreifern zu leicht beim eindringen in Unternehmen.
Security-Spezialist Kaspersky untersuchte für seinen Report Schwachstellen in selbst entwickelten Webanwendungen von Unternehmen aus den Bereichen IT, Behörden, Versicherungen, Telekommunikation, Kryptowährungen, E-Commerce und Gesundheitswesen.
Selbst entwickelte Webanwendungen fehlerhaft
Der Großteil (70 Prozent) der gefundenen Schwachstellen betrifft die Bereiche Datenschutz hinsichtlich vertraulicher Informationen wie Passwörter, Kreditkartendaten, Gesundheitsakten, persönliche Daten und vertrauliche Geschäftsinformationen oder die Zugriffskontrolle. Über letztere können Cyberkriminelle Website-Richtlinien umgehen und dadurch beispielsweise Daten ändern oder löschen.
In der Mehrzahl der untersuchten Anwendungen fanden die Experten insgesamt mehrere Dutzend Schwachstellen, die die Zugriffskontrolle und den Datenschutz betrafen; viele, die der höchsten Risikostufe zugeordnet wurden, standen im Zusammenhang mit SQL-Injektionen. Einige der analysierten Schwachstellen wiesen sogar ein hohes Risiko auf. So handelte es sich bei 88 Prozent aller analysierten SQL-Injection-Schwachstellen um solche mit hohem Risiko; weiterhin wurden 78 Prozent im Bereich schwache Passwörter als hochriskant eingestuft.
Schwachstellen, schlechte Passwörter und mehr
🔎 40 bis 70 Prozent der untersuchten Webanwendungen enthalten die klassischen Fehler, wie etwa eine defekte Zugangskontrolle (Bild: Kaspersky).
Außerdem wiesen 22 Prozent aller von Kaspersky untersuchten Webanwendungen schwache Passwörter auf. Ein möglicher Grund ist, dass es sich bei den in der Stichprobe enthaltenen Apps möglicherweise um Testversionen und nicht um tatsächliche Live-Systeme handelte. Weitere Arten von gefunden Schwachstellen und ihr Vorkommen in unternehmensintern entwickelten Webanwendungen: Oxana Andreeva, Sicherheitsexpertin im Team von Kaspersky Security Assessment, kommentiert:
„Die Untersuchung wurde unter Berücksichtigung der häufigsten Schwachstellen in Webanwendungen, die inhouse von Unternehmen entwickelt wurden, sowie ihres Risikogrades erstellt. Angreifer könnten dadurch Daten zur Nutzerauthentifizierung stehlen oder schädlichen Code auf dem Server ausführen. Jede Schwachstelle hat unterschiedlich starke Auswirkungen auf die Geschäftskontinuität und die Ausfallsicherheit. Unternehmen sollten daher auf die Sicherheit bei der Entwicklung von Webanwendungen achten und diese stetig überprüfen.“
Mehr Schutz von unternehmensintern entwickelten Webanwendungen
- Einen Secure Software Development Lifecycle (SSDLC) implementieren.
- Regelmäßig Bewertungen der Anwendungssicherheit durchführen und entsprechende Maßnahmen ergreifen.
- Den Betrieb der Anwendungen überwachen.
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/