CyberInsights
Der Blog rund um
Ihre Datensicherheit

IT-Schwachstellen 2022: Das sind die Top 3 Sicherheitslücken

Welche IT-Schwachstellen haben Unternehmen dieses Jahr besonders beschäftigt? Was hat sich im Vergleich zum Vorjahr verändert – und warum? Wir stellen die TOP 3 der kritischen Sicherheitslücken aus 2022 vor und beleuchten den derzeitigen Bewusstseinswandel von Unternehmen sowie effektive Schutzmechanismen.

Stark wachsendes Bewusstsein für IT-Schwachstellen und Cyber Security

Nachdem das Jahr 2022 aufgrund der kritischen Schwachstelle Log4Shell , die sich in vielen frei verfügbaren Software-Bausteinen befand, für Unternehmen weltweit mit der Warnstufe rot begann, hat ein Umdenken stattgefunden. Die IT-Security-Experten im Cyber Defense Operation Center (CDOC ) der DGC beobachten ein stark steigendes Bewusstsein für die Gefahren unzureichender Cyber Security.

Dazu trägt die beständige Medienberichterstattung über kostspielige Angriffe auf Konzerne und Großunternehmen bei. Es ist auf den Vorstandsetagen angekommen, dass Cyberkriminalität als größte Bedrohung für den Unternehmenserfolg zu sehen ist. Laut einer aktuellen PwC-Studie sind 42 Prozent der befragten weltweiten Konzerne mit mehr als einer Milliarde US-Dollar Umsatz in den vergangenen zwei Jahren Ziel von Hackerangriffen gewesen.

Für ein wachsendes Bewusstsein sorgt zudem das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und der Umstand, dass der Kreis der KRITIS-Unternehmen erweitert wurde. Neben Sektoren wie Gesundheit, Informationstechnik und Telekommunikation sowie dem Finanz- und Versicherungswesen zählt nun etwa die Abfallwirtschaft zu den Betreibern kritischer Infrastrukturen. Betroffene Unternehmen müssen erhöhten gesetzlichen Anforderungen nachkommen und unter anderem bis Mai 2023 Systeme zur Angriffserkennung implementieren.

TOP 3 der IT-Schwachstellen in 2o22

Auch in diesem Jahr verging kaum ein Tag ohne neue Schwachstellen-Meldungen in etablierten Sicherheitsportalen. Doch welche dieser Sicherheitslücken erwiesen sich für Unternehmen als besonders kritisch? Und welche hätten schon aufgrund ihrer weiten Verbreitung verheerende Wirkung zeigen können? Das CDOC-Team der DGC, das Kundenunternehmen bei ihrem Schwachstellen-Monitoring und der Abwehr von Cyberattacken unterstützt sowie präventive Notfallstrategien entwickelt, hat die TOP-Schwachstellen aus 2022 zusammengestellt:

1. IT-Schwachstelle: ProxyNotShell (New Proxy Hell)

  • Offizielle Bezeichnung laut CVE-Referenziersystem: CVE-2022-41082 und CVE-2022-41040
  • Betroffene Systeme: On premise Microsoft Exchange Server
  • Möglichkeit zur Schadensminderung (Mitigation): Patchen, sprich Software-Aktualisierung
  • Software-Patch verfügbar: Ja, Microsoft hat im November 2022 einen entsprechenden Patch zur Verfügung gestellt

ProxyNotShell ist eine eine relativ junge Schwachstelle in Microsoft Exchange Servern (ausschließlich On-Premise ). Diese hätte aufgrund der hohen Nutzeranzahl empfindliche Folgen für unzählige Unternehmen haben können. Microsoft reagierte jedoch zügig mit einem Sicherheitspatch. Da es aber noch dauern könnte, bis diese Korrekturmöglichkeit von allen Anwenderunternehmen implementiert wurde, ist die Gefahr von Übergriffen noch nicht flächendeckend behoben. Durch die Sicherheitslücke können Angreifende per Remote Code Execution (RCE) in Systeme eindringen, Malware ausführen oder Systeme komplett kontrollieren. Unter Ausnutzung der ProxyNotShell-Schwachstelle werden zudem serverseitige Anfragenfälschungen ermöglicht – Experten sprechen von Server-Side Request Forgery (SSRF). Hierbei avisieren Hacker den Backend-Server einer Web-Anwendung und bringen das System dazu, böswillige Anfragen an ein Ziel ihrer Wahl zu verschicken.

2. IT-Schwachstelle in OpenSSL 3.0-3.0.6

  • Offizielle Bezeichnung laut CVE-Referenziersystem: CVE-2022-3786  und CVE-2022-3602
  • Betroffene Systeme: OpenSSL Version 3.0-3.0.6
  • Möglichkeit zur Schadensminderung (Mitigation): Software-Update auf 3.0.7
  • Software-Patch verfügbar: Ja

Die Schwachstelle CVE-2022-3786 innerhalb der OpenSSL-Software für Transport Layer Security sorgt dafür, dass die Validierung von Zertifikaten fehlschlägt und ein Systemzusammenbruch verursacht wird. Diese sogenannten Denial of Service (DoS)-Angriffe ermöglichen es, vermeintlich abgesicherte Websites und Systeme unzugänglich zu machen und lahm zu legen – meist mit dem Ziel, hohe Lösegeldsummen zu erpressen.

3. IT-Schwachstelle in VMware vSphere

  • Offizielle Bezeichnung laut CVE-Referenziersystem: CVE-2021-21980 ; CVE-2021-22049
  • Betroffene Systeme: VMWare vSphere & Browser Plugin
  • Möglichkeit zur Schadensminderung (Mitigation): Update des VMWare vCenter
  • Software-Patch verfügbar: Ja

Die Schwachstelle CVE-2021-21980 in vSphere ermöglicht das Lesen beliebiger Dateien durch unbefugte Akteure. Mit Zugriff auf den Port 443 des vCenter Servers gelangen sie ohne Autorisierung an sensible Informationen. Daher wurde der Schweregrad dieser Schwachstelle mit einer CVSSv3-Bewertung von 7,5 als hoch eingestuft.
Darüber hinaus können Angreifende über eine weitere Schwachstelle im Browser Plugin (CVE-2021-22049) Server Side Request Forgery-Angriffe durchführen.

Die drei TOP-Schwachstellen aus 2022 zeigen, dass damit verbundene Risiken gemeinhin schnell behoben werden können. Vorausgesetzt, dass Verantwortliche darüber informiert sind und die von Softwareherstellern zur Verfügung gestellten Sicherheitspatches zügig implementiert werden – sofern sie bereits vorliegen. Im Vergleich dazu birgt eine andere Schwachstelle, die nicht in den technischen Bereich fällt, mehr Risiko: der Mensch.

Immer bedeutsamer: „Schwachstelle Mensch“

Social Engineering-Taktiken, auch Human Hacking genannt, sind in 2022 noch findiger geworden und bündeln oftmals kanalübergreifende Anfragen per E-Mail, SMS und Telefon sowie über Social Media. Darüber gelingt es Cyberkriminellen regelmäßig, Mitarbeitende eines avisierten Unternehmens von der Freigabe vertraulicher Zugangsdaten zu überzeugen. Zugleich sind die versendeten und immer komplexer werdenden Malware-Dateien schwieriger von den Systemen zu entdecken – Hacker treiben nicht selten tage- oder monatelang unbeobachtet ihr Unwesen in Systemen.

Aufgrund der fortschreitenden Vernetzung und verstärkten Home-Office-Situation kommen Unternehmen nicht umhin, ihre gesamte Belegschaft für den Umgang mit Social Engineering-Angriffen zu schulen. Security Awareness Trainings und Schulungsmaßnahmen wie Phishing-Kampagnen können maßgeblich dazu beitragen, die „Schwachstelle Mensch“ zu schließen. Mitarbeitende lernen interaktiv und ausgehend von dem eigenen Wissensstand, wie sie sich und das Unternehmen vor Angriffen schützen, IT-Risiken schon im Vorfeld erkennen und direkt dem IT-Team melden.

Risiken rechtzeitig erkennen und beheben – mit 360-Grad-Sicherheit

Das unternehmensweite IT-Sicherheitsbewusstsein ist idealerweise Bestandteil eines 360-Grad-Ansatzes , der eine modulare Zusammensetzung von Maßnahmen ermöglicht. Im Hinblick auf Schwachstellen sind auch Pentests zur initialen Schwachstellenermittlung sowie ein kontinuierliches Schwachstellen-Management essenziell. Durch die qualifizierte und konstante Schwachstellen-Analyse mithilfe eines leistungsstarken IT-Security Tools wie cyberscan.io® erhalten Unternehmen einen umfassenden Überblick über die bestehende IT-Infrastruktur. So gelingt es, das eigene Risikoprofil ganzheitlich zu bewerten, Bedrohungen rechtzeitig zu identifizieren und zu beheben – und damit optimal in die Cyber Security zu investieren.

Ausblick: Cyber Security und IT-Schwachstellen in 2023

Laut der Sicherheitsexperten aus dem CDOC stehen Unternehmen 2023 vor einer Art IT-Sicherheitsrevolution. Die Stärkung der eigenen Cybersicherheit wird angesichts gravierender Folgen von Hackerattacken, der weiter zu beobachtenden Professionalisierung von Angriffen sowie kritischer Schwachstellen in verbreiteten Softwareprodukten zum Top-Strategiethema mit entsprechend erhöhtem Budget.

Da sich neue Schwachstellen nur schwer vorhersagen lassen und einige bestehende nach wie vor im Umlauf sein werden, sind Entscheider gut beraten, in einen umfassenden IT-Schutz zu investieren. In diesem Kontext gilt es auch die Expertise des Dienstleisters zu prüfen: Neben leistungsstarken Tools sollte ein Team aus erfahrenen IT-Sicherheitsanalysten, Beratern und Forensikern bereitstehen, für die der souveräne Umgang mit Schwachstellen sowie die Etablierung effektiver IT-Sicherheitsmaßnahmen zum Tagesgeschäft zählen.

Sie möchten mehr darüber erfahren, wie IT-Schwachstellen mit unserem CDOC-Team und cyberscan.io® erkannt und behoben werden können?

Kontaktieren Sie uns – wir beraten Sie gerne.

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.