Security-Ticker: Verschlüsselung, Zertifikate. Schwachstellen. Fitnessbänder.

IT-Profis machen sich Sorgen um die Sicherheit von Verschlüsselung und Zertifikaten. In 2014 ist die Zahl der Schwachstellen dramatisch gestiegen.

Der Security-Ticker von SearchSecurity.de fasst wichtige Meldungen zu IT-Sicherheitsthemen zusammen. Über die angegeben Weblinks finden Sie weitere Informationen zu den Meldungen.

Kein gutes Gefühl bei Verschlüsselung und Zertifikaten

Einer vom Ponemon Institute und Venafi veröffentlichten Studie zufolge glauben IT-Sicherheitsexperten weltweit, dass das System von kryptographischen Schlüsseln und digitalen Zertifikaten seine Belastungsgrenze erreicht hat. Für die Studie 2015 Cost of Failed Trust wurden über 2300 IT-Sicherheitsexperten weltweit befragt, darunter auch 574 aus Deutschland.

Laut Studienergebnis glauben IT-Sicherheitsprofis, dass die Technologie bedroht sei, die ihr Unternehmen für funktionierende Geschäftsabläufe braucht. Die großen Sicherheitslücken des Jahres 2014 wie Heartbleed oder POODLE haben dazu sicher ihren Beitrag geleistet. Alle befragten Unternehmen mussten in den letzten beiden Jahren mehrfach Angriffe auf ihre Schlüssel und Zertifikate abwehren. Das ist nicht neu: seit vier Jahren in Folge geben 100 Prozent der befragten Unternehmen in der Befragung an, dass sie mehrere Angriffen auf Schlüssel und Zertifikate feststellten.

Verschluesselung und Zertifikate
Verschlüsselung und Zertifikate: Die Ergebnisse für Deutschland im Überblick.

Weitere Ergebnisse der Studie:

  • In den letzten beiden Jahren stieg die Zahl der Schlüssel und Zertifikate um mehr als 34 Prozent auf fast 24.000 pro Unternehmen. Das vergrößerte auch die Angriffsfläche.
  • 35 Prozent der befragten deutschen Unternehmen wissen nicht, wo sich Schlüssel und Zertifikate befinden und wie sie eingesetzt werden.
  • Die Sicherheitsprofis haben Angst vor einem Krypto-Gau, bei dem die Standardalgorithmen wie RSA und SHA kompromittiert und ausgenutzt werden.
  • Der Missbrauch von Zertifikaten für Unternehmensanwendungen wie Wi-Fi, VPN und MDM/EMM beunruhigt die befragten Security-Profis zunehmend.
  • Sicherheitsvorfälle mit Zertifikaten im Mobilbereich wurden als weitere Risiken und Ereignisse eingestuft, die den größten Gesamtschaden verursachen.
  • Es gab mehr Attacken auf Unternehmen in Deutschland als in jedem anderen untersuchten Land (Frankreich, England, USA, Australien). Meist handelte es sich dabei um Man-in-the Middle-Angriffe.

Weblink: Die vollständige Studie können Sie gegen Registrierung bei Venafi herunterladen.

Zahl der Schwachstellen dramatisch gestiegen

Der Sicherheitsanbieter Secunia hat seinen Vulnerability Review 2015 für das Jahr 2014 veröffentlicht. Demnach wurden im Jahr 2014 in 3870 Anwendungen von 500 Anbietern insgesamt 15.435 Schwachstellen entdeckt. Im Vergleich zum Vorjahr ist die Zahl der Sicherheitslücken um 18 Prozent, die der Produkte sogar um 22 Prozent gestiegen, so Secunia. Der Fünf-Jahres-Trend zeige sogar einen Anstieg von 55 Prozent. Die Zahl der Zero-Day-Lücken ist laut Secunia von 14 im Vorjahr auf 25 gestiegen, davon 20 in den 25 beliebtesten Anwendungen.

Mit „sehr kritisch“ wurden 11 Prozent aller Schwachstellen eingestuft, 0,3 Prozent gar als „extrem kritisch“ bewertet. Für 83 Prozent der Schwachstellen in allen Produkten waren aber bereits am Tag der Veröffentlichung Patches verfügbar, meldet Secunia.

Alleine die populären Browser Google Chrome, Mozilla Firefox, Internet Explorer, Opera und Apple Safari kamen zusammen auf 1035 Sicherheitslücken.

Weblink: Der Report ist nach Registrierung hier bei Secunia hier erhältlich.

Fitnessarmbänder unsicher

Laut dem Sicherheitsanbieter Kaspersky Lab steht es mit der Sicherheit der aktuellen Fitnessarmbänder nicht zum Besten. Der Kaspersky-Experte Roman Unucheck hat die Verbindung zwischen Fitnessband und Smartphone als Schwachstelle ausgemacht. Auf einem Smartphone mit Betriebssystem ab Android 4.3 ließ sich mit einer speziellen nicht autorisierten App eine Verbindung mit den Fitness-Geräten verschiedener Anbieter herstellen. Allerdings muss der Nutzer des Fitnessarmbands die Verbindung per Knopfdruck bestätigen. Dies wird in der Regel durch das Fitnessband mit einem Vibrationsalarm signalisiert. Dabei sei aber in der Regel nicht ersichtlich, ob die Pairing-Anfrage durch das eigene Smartphone oder ein fremdes Gerät erfolgte. Erlangt der „Angreifer“ so Zugang zu dem Fitnessband, kann er die gespeicherten persönlichen Daten auslesen.

Weblink: Hier finden Sie den ausführlichen Bericht des Kaspersky-Experten.

Kleine und mittelgroße Unternehmen bei IT-Sicherheit konservativ

Laut Security-Anbieter Sophos und dem beauftragten Marktforscher techconsult setzen kleine und mittelständische Unternehmen (KMU) bei ihren Sicherheitssystemen gerne möglichst wenige unterschiedliche Hersteller ein. 40,7 Prozent bauen auf einen Anbieter und 50,5 Prozent nutzen nur zwei Hersteller. Befragt wurden 305 Unternehmen aus Deutschland, Österreich und der Schweiz. Die weiteren Ergebnisse:

  • Cloud-oder Managed Services sind nicht sehr beliebt. Ihre Daten behalten 84,3 Prozent der Firmen am liebsten im eigenen Haus.
  • Rund 80 Prozent der befragten KMUs setzen Sicherheitssoftware auf den End-Points ein.
  • Security-Produkte für mobile Geräte verwenden knapp 47 Prozent.
  • Datenverschlüsselung gibt es bei 45 Prozent der Unternehmen.
  • Datei- oder Ordnerverschlüsselung setzen 36 Prozent ein.
  • Mobile Device Management (MDM) ist ebenfalls bei nur 36 Prozent der befragten Firmen im Einsatz.

Weblink: Die vollständige Pressemeldung von Sophos finden Sie hier.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close