Cloudflare hat seinen Bericht zum Stand der Anwendungssicherheit für 2024 veröffentlicht. Der diesjährige Report zeigt, dass die Sicherheitsabteilungen von Unternehmen Mühe haben, mit den Gefahren Schritt zu halten, die mit der Abhängigkeit von modernen Anwendungen einhergehen.
Solche Applikationen bilden die Grundlage für die heute am meisten genutzten Websites. Der Bericht macht deutlich, dass die Menge an Angriffen, bei denen Probleme in der Software-Lieferkette ausgenutzt werden, sowie die wachsende Zahl von Distributed Denial-of-Service (DDoS)-Attacken und Schadbots oft die Ressourcen der für die Sicherheit von Anwendungen verantwortlichen Teams übersteigen.
Webanwendungen und API sind die Grundpfeiler der modernen digitalen Welt. Sie ermöglichen die Zahlungsabwicklung im Online-Handel, die sichere Weiterleitung von Patientendaten innerhalb des Gesundheitssystems und das reibungslose Funktionieren der Apps auf unseren Handys. Doch je mehr man sich auf solche Anwendungen verlässt, desto größer fällt auch die Angriffsfläche aus. Erschwerend kommt hinzu, dass Entwicklerinnen und Entwickler heute neue Funktionen – etwa solche, die generative KI nutzen – immer schneller bereitstellen sollen. Werden diese Anwendungen aber nicht geschützt, können sie ausgenutzt werden. Die möglichen Folgen sind Betriebsstörungen, finanzielle Einbußen und der Zusammenbruch kritischer Infrastruktur.
Bei der Entwicklung von Webanwendungen und API wird der Sicherheitsaspekt selten berücksichtigt. Doch wir nutzen sie täglich für alle möglichen wichtigen Dinge, weshalb sie für Hackerinnen und Hacker ein ergiebiges Ziel abgeben“, so Matthew Prince, Mitgründer und CEO von Cloudflare. „Das Cloudflare-Netzwerk fängt jeden Tag im Schnitt 209 Milliarden Cyberbedrohungen für unsere Kunden ab. Die Sicherheitsvorkehrungen rund um moderne Anwendungen sind heute einer der wichtigsten Faktoren überhaupt, um das Internet dauerhaft zu schützen.“
Die wichtigsten Erkenntnisse aus dem Cloudflare-Bericht zum aktuellen Stand der Anwendungssicherheit 2024:
- Zahl und Umfang von DDoS-Angriffen nehmen weiter zu: DDoS-Attacken sind nach wie vor der am häufigsten gegen Webanwendungen und API eingesetzte Angriffsvektor. Sie sind für 37,1 Prozent des gesamten Anwendungstraffics verantwortlich, den Cloudflare Abwehrmaßnahmen unterzieht. Am stärksten im Visier standen dabei die Branchen Gaming und Glücksspiel, IT und Internet, Kryptowährungen, Computersoftware sowie Marketing und Werbung.
- Der Wettlauf zwischen Verteidigern und Angreifern beschleunigt sich: Cloudflare hat beobachtet, dass neue Zero-Day-Schwachstellen schneller ausgenutzt wurden als je zuvor. In einem Fall lagen zwischen der Veröffentlichung des Proof of Concept (PoC) und dem Missbrauch gerade einmal 22 Minuten.
- Nicht neutralisierte Schadbots können schwere Störungen verursachen: Bots sind für ein Drittel (31,2 Prozent) des gesamten Traffics verantwortlich. Die Mehrheit (93 Prozent) wurde nicht überprüft und ist potenziell bösartig. In diesem Bereich standen das verarbeitende Gewerbe und das Konsumgütersegment, Kryptowährungen, der Bereich Sicherheit und Ermittlungen sowie die US-Bundesbehörden am stärksten unter Beschuss.
- Die von Unternehmen zum API-Schutz angewandten Strategien sind veraltet: Herkömmliche Web Application Firewall (WAF)-Regeln wenden ein negatives Sicherheitsmodell an, bei dem davon ausgegangen wird, dass der überwiegende Teil des Datenverkehrs im Web gutartig ist. Sie werden am häufigsten zum Schutz vor API-Traffic eingesetzt. Deutlich seltener werden dagegen die bewährteren und anerkannteren Verfahren mit positivem Sicherheitsmodell genutzt, bei denen der zulässige Traffic streng definiert ist und der gesamte dieser Definition nicht entsprechende Datenverkehr verworfen wird.
- Abhängigkeiten von Drittsoftware werden zunehmend zum Risiko: Im Schnitt werden bei Unternehmen 47,1 Quellcode-Versatzstücke von Drittanbietern eingesetzt und 49,6 ausgehende Verbindungen zu Drittressourcen zur Steigerung von Effizienz und Performance von Websites hergestellt. Das umfasst beispielsweise die Nutzung von Google Analytics oder Google Ads. In der Webentwicklung ist es inzwischen weitgehend akzeptiert, dass diese Arten von Drittcode und -aktivitäten im Browser eines Nutzers geladen werden, sodass die Unternehmen zunehmend Lieferkettenrisiken ausgesetzt sind und sich Gedanken wegen Haftbarkeit und Compliance machen müssen.
Angewandte Methodik:
Dieser Bericht beruht auf (zwischen dem 1. April 2023 und dem 31. März 2024) im gesamten globalen Cloudflare-Netzwerk beobachteten Traffic-Mustern, die zu Analysezwecken gebündelt wurden. Diese Daten und Bedrohungsinformationen aus dem Netzwerk von Cloudflare wurden durch Drittquellen ergänzt, die im Bericht durchgängig angegeben wurden. Während des Zeitraums der Datenerhebung hat Cloudflare 6,8 Prozent des gesamten Webanwendungs- und API-Traffics Abwehrmaßnahmen unterzogen. Er wurde also entweder blockiert oder mittels Tests überprüft. Welcher Kategorie eine Bedrohung zugeordnet wird und welches Abwehrverfahren wir nutzen, hängt von vielen Faktoren ab. Dazu gehören die potenziellen Sicherheitslücken einer spezifischen Anwendung, das Geschäftsfeld, in dem das potenzielle Opfer tätig ist, und die Ziele der Angreifer.
(pd/Cloudflare)