Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker, hat heute ihren „2022 Attack Resistance Report“ veröffentlicht. Der Report erfasst die Einschätzung von IT-Fachleuten, inwiefern ihr Unternehmen für Cyberattacken gerüstet ist.
Der Bericht liefert einen Beleg dafür, dass eine große Lücke zwischen dem klafft, was Unternehmen zu schützen imstande sind, und dem, was tatsächlich geschützt werden muss – die sogenannte „Attack Resistance Gap“.
Basierend auf den Antworten von Unternehmen aus Europa und Nordamerika, befasst sich die Studie mit vier Bereichen, die für Unternehmen von entscheidender Bedeutung sind, um ihre Widerstandsfähigkeit gegenüber Angriffen zu stärken:
- Die Kenntnis der Angriffsfläche, die das Unternehmen Cyberkriminellen bietet.
- Die Frequenz der Anwendungstests im Verhältnis zu den Release-Zyklen.
- Die Tiefe und Art von Sicherheitstests.
- Die Verfügbarkeit von technischen Fachkräften, die in der Lage sind, diese Aufgaben auszuführen.
Insgesamt erreichen die Unternehmen in diesen vier Kernbereichen einen Confidence Score von 63 Prozent.
„Kenntnis reduziert das Risiko. Nur Unternehmen, die ihre Attack Resistance Gap kennen, sind in der Lage, sie zu verkleinern“, erläutert Marten Mickos, CEO von HackerOne. „Wir haben diese Untersuchung durchgeführt, um das Problem zu skizzieren und einen Ausweg aufzuzeigen. Organisationen, die ihre Tests ausweiten und kontinuierlich durchführen, werden sehen, wie sich ihre Attack Resistance Gap zusehends schließt.“
Im Rahmen der Studie gab ein Drittel der Befragten an, dass sie weniger als 75 Prozent ihrer Angriffsfläche überhaupt überwachen. Und annähernd 20 Prozent aller Teilnehmer waren der Meinung, dass mehr als die Hälfte ihrer Angriffsfläche unbekannt ist oder sich nicht überwachen lässt. In Deutschland teilten nur 10 Prozent der Studienteilnehmer letztere Einschätzung. Unternehmen, die einen solchen Umgang mit ihrer Angriffsfläche pflegen, sind zweifelsohne anfällig für externe Bedrohungen, vor allem, weil digitale Transformation und technische Entwicklung in hohem Tempo voranschreiten.
Darüber hinaus zweifeln 44 Prozent der Unternehmen, dass sie ihre Attack Resistance Gap schließen können – hierzulande trifft dies auf 15 Prozent der Teilnehmer zu. Der Mangel an Fachkräften im Bereich Cybersecurity erschwert es Unternehmen, die gesamte Angriffsfläche abzusichern. In diesem Zusammenhang betonen 80 Prozent der Befragten (Deutschland 46 %) ihre Besorgnis über einen Mangel an Expertise und erfahrenen Sicherheitsexperten.
Die Studie zeigt ferner, dass isolierte und unzureichende Produkttests den Druck auf Unternehmen weiter erhöhen. Ein Drittel (33 %) aller Teilnehmer nennt unzureichende teamübergreifende Zusammenarbeit als Hauptgrund für Mängel bei Sicherheitstests und entsprechenden Scan-Tools. Entwicklungs-, Security- und Betriebsteams sehen sich ständig verändernde Anforderungen und Prioritäten als ihre beiden größten Herausforderungen an. Darüber hinaus machen ihnen technische und sicherheitsrelevante Mängel in Legacy-Systemen zu schaffen.
Die Studienteilnehmer zeigten sich zudem besorgt über ihre Abhängigkeit von Sicherheits- und Scan-Tools, die nicht selten als schnelle oder „One-Size-Fits-All“-Lösung genutzt werden. Es zeigt sich auch, dass viele Unternehmen das Attack Surface Management (ASM) eher als obligatorische Sicherheitsübung denn als strategisches Tool in ihrer allgemeinen Sicherheitsstrategie betrachten. Nur 22 Prozent (Deutschland 31 %) der Unternehmen setzen ASM-Lösungen ein, um Gefahren durch ungeschützte Infrastrukturen im Entwicklungsumfeld sowie schwache, unsichere oder veraltete Verschlüsselungsmethoden zu minimieren.
www.hackerone.com