08 Jun 2016
News, Presse, Swiss Vulnerability Report (SVR), Vulnerabilities, Vulnerability Assessment, Vulnerability Scanning
8. Juni 2016 admin

Swiss Vulnerability Report 2016: Die Angriffsfläche des Schweizer Internets.

Warning: Attempt to read property "post_excerpt" on null in /home/httpd/vhosts/first-security.com/httpdocs/wp-content/themes/brooklyn/partials/blog/content.php on line 101

Welche Schwachstellen sollte die Schweiz kennen und beheben?

Sensible Daten stehen wegen Falschkonfiguration zum Download bereit. Verschlüsselte Verbindungen sind nicht zwingend sicher. Consumer Electronic, NAS und Hausautomationssysteme sind direkt im Internet mit wenig oder gar ohne Sicherheitsmassnahmen ansprechbar. Dies sind einige der Problematiken, welcher der diesjährige Swiss Vulnerability Report aufdeckt.

Der komplette Swiss Vulnerability Report 2016
kann hier kostenlos heruntergeladen werden.

Chur, 08. Juni 2016. Zum vierten Mal veröffentlicht die First Security Technology AG (FST) den Swiss Vulnerability Report (SVR). Der jährliche Report, um mehr über die Sicherheit der Schweizer Internet-Landschaft zu erfahren. Die FST ist der Schweizer Hersteller von IT-Schwachstellen-Analysesystemen.
Die Meldungen von gehackten Unternehmungen nehmen drastisch zu und scheinen noch nicht den Höhepunkt erreicht zu haben. Keine Branche ist sicher davor und vermeintlich gut geschützte Unternehmungen trifft es genauso wie kleinere Unternehmungen, welche denken bei ihnen sei nichts zu holen. Für den erfolgreichen Einbruch in IT Systeme und Datenmissbrauch nutzen Cyberkriminelle, wie auch Geheimdienste, Schwachstellen aus. Bei Schwachstellen kommt den Meisten zuerst die der Software Hersteller in den Sinn. Falschkonfigurationen von IT Systemen, zum Beispiel durch keine oder Standard Passwörter oder das Anbieten von Diensten, denen man sich nicht bewusst ist, kommt öfters vor als zuerst vermutet.

Herausforderung Passwörter

Angebotene Dienste und Daten sind meist mit Benutzernamen und Passwörter geschützt. Wenn diese Dienste keine Schwachstellen anbieten, um die Autorisierung zu umgehen, ist es maximal so sicher wie das gewählte Passwort. Bei FTP wurde geprüft, bei wie vielen ein Login ohne Passwort möglich ist. Bei über 2‘600, dies entspricht 4.2%, ist dies möglich und die meisten bieten dies ungewollt an, da sie ihre Systeme nicht richtig konfigurierten. Bei geschätzt über 10% dieser Systeme liegen sensitive Daten wie Backups, Kundendaten, interne Dokumente bis hin zu der Steuererklärung. Ebenfalls verbreitet sich Malware über solche ungeschützte Dateiablagen indem es sich dort speichert und auf das Öffnen wartet.

Die üblichen Verdächtigen sind Web und E-Mail

Die Web Services sind die weitaus am Meisten angebotenen Dienste. Gut zugenommen hat dieses Jahr die Anzahl von HTTPS Diensten. Die verschlüsselte Variante findet sich über 225‘000 mal im Schweizer Internet. Dagegen hat die unverschlüsselte Variante auf unter 180‘000 abgenommen. Ein klarer Trend, um Verbindungen über das Internet durch Verschlüsselung sicherer zu gestalten. Das Sicherheitsbewusstsein hat auch bei den Datenbanken Einzug gehalten. Viel weniger Datenbanken sind heute direkt aus dem Internet erreichbar.

Verschlüsselung ist nicht gleich Verschlüsselung

Die letzten 2 Jahre haben gezeigt, dass in SSL und TLS Verschlüsselungen einige Schwachstellen mit teils gravierenden Auswirkungen vorhanden sind. Immer noch sind 78‘000 Server auf Poodle und 25‘000 auf Freak anfällig. Bei über 26‘000 Diensten ist der Private Key mittels dem Angriff Drown auslesbar. Durch das zusätzliche Messen der Mehrfachverwendung derselben Zertifikate auf verschiedenen Diensten und Servern wird schnell klar, dass durch ausnutzen von Drown die Schlüssel zur Verfügung stehen, um im Augenblick als unknackbar bezeichnete Verschlüsselungen zu entschlüsseln.

Consumer Elektronik, NAS und Hausautomation auch bei Firmen im Einsatz

Die Sichtbarkeit von Consumer Electronic und NAS hat um einiges zugenommen. Diese Systeme wurden meist nicht mit Bezug auf Sicherheit entwickelt. Solche Geräte wie z.B. Smart TVs findet man immer öfters in Firmen und bietet ein Einfallstor, wenn diese direkt aus dem Internet ansprechbar sind. Ähnlich ist es bei den Hausautomationssystemen. Viele dieser sind sichtbar und zu wenig geschützt.

Viele weitere Erkenntnisse und Informationen zur Untersuchung der 20 Millionen Schweizer IP-Adressen finden sich im Swiss Vulnerability Report 2016.

Der komplette Swiss Vulnerability Report 2016
kann hier kostenlos heruntergeladen werden.

First Security Technology AG

Die First Security Technology AG wurde 2001 gegründet und hat ihren Sitz in der Stadt Chur im schweizerischen Kanton Graubünden. Das Unternehmen stellt Schwachstellen-Analyse-Software für IT-Systeme her. Zu seinen Produkten zählt VulnWatcher, eine mehrfach preisgekrönte webbasierte Software für Swiss Made Vulnerability Management. Die Firma bietet ihre Produkte mit Erfolg weltweit an. Zu den Kunden von First Security Technology zählen Unternehmungen jeder Grösse aus allen Branchen und Sparten, welche die Risiken von Schwachstellen in ihrer IT erkennen und minimieren möchten. Das Unternehmen wird vom Gründer und Mitinhaber Dipl. Ing. FH Pascal Mittner geleitet.

Weitere Auskunft erteilt gerne:

Herr Pascal Mittner, CEO

First Security Technology AG
Gürtelstrasse 11
CH-7001 Chur GR
Schweiz

Tel. +41 (0)81 250 44 44
E-Mail [email protected]
www.first-security.com