Schwachstellen bei der Zugangskontrolle und das Risiko der Offenlegung von Daten sind die weit verbreitetsten Sicherheitsmängel in unternehmensintern entwickelten Webanwendungen.
Dies zeigt eine aktuelle Analyse von Kaspersky im Zeitraum 2021 bis 2023. Kaspersky untersuchte dafür Schwachstellen in selbst entwickelten Webanwendungen von Unternehmen aus den Bereichen IT, Behörden, Versicherungen, Telekommunikation, Kryptowährungen, E-Commerce und Gesundheitswesen.
Der Großteil (70 Prozent) der gefundenen Schwachstellen betrifft die Bereiche Datenschutz hinsichtlich vertraulicher Informationen wie Passwörter, Kreditkartendaten, Gesundheitsakten, persönliche Daten und vertrauliche Geschäftsinformationen oder die Zugriffskontrolle. Über letztere können Cyberkriminelle Website-Richtlinien umgehen und dadurch beispielsweise Daten ändern oder löschen.
In der Mehrzahl der untersuchten Anwendungen fanden die Experten insgesamt mehrere Dutzend Schwachstellen, die die Zugriffskontrolle und den Datenschutz betrafen; viele, die der höchsten Risikostufe zugeordnet wurden, standen im Zusammenhang mit SQL-Injektionen. Einige der analysierten Schwachstellen wiesen sogar ein hohes Risiko auf. So handelte es sich bei 88 Prozent aller analysierten SQL-Injection-Schwachstellen um solche mit hohem Risiko; weiterhin wurden 78 Prozent im Bereich schwache Passwörter als hochriskant eingestuft.
Außerdem wiesen 22 Prozent aller von Kaspersky untersuchten Webanwendungen schwache Passwörter auf. Ein möglicher Grund ist, dass es sich bei den in der Stichprobe enthaltenen Apps möglicherweise um Testversionen und nicht um tatsächliche Live-Systeme handelte.
Weitere Arten von gefunden Schwachstellen und ihr Vorkommen in unternehmensintern entwickelten Webanwendungen:
Oxana Andreeva, Sicherheitsexpertin im Team von Kaspersky Security Assessment, kommentiert:
„Die Untersuchung wurde unter Berücksichtigung der häufigsten Schwachstellen in Webanwendungen, die inhouse von Unternehmen entwickelt wurden, sowie ihres Risikogrades erstellt. Angreifer könnten dadurch Daten zur Nutzerauthentifizierung stehlen oder schädlichen Code auf dem Server ausführen. Jede Schwachstelle hat unterschiedlich starke Auswirkungen auf die Geschäftskontinuität und die Ausfallsicherheit. Unternehmen sollten daher auf die Sicherheit bei der Entwicklung von Webanwendungen achten und diese stetig überprüfen.“
Kaspersky-Empfehlungen zum Schutz von unternehmensintern entwickelten Webanwendungen
- Einen Secure Software Development Lifecycle (SSDLC) implementieren.
- Regelmäßig Bewertungen der Anwendungssicherheit durchführen und entsprechende Maßnahmen ergreifen.
- Den Betrieb der Anwendungen überwachen.
www.kaspersky.de