CyberInsights
Der Blog rund um
Ihre Datensicherheit

IT-Schwachstellen: Das waren die Top 3 Sicherheitslücken in 2021

IT-Schwachstellen: Das waren die Top 3 Sicherheitslücken in 2021

Die Anzahl von IT-Schwachstellen in Softwareprodukten ist 2021 um 20 Prozent gestiegen: Laut einem aktuellen Sicherheitsreport wurden mehr als 66.000 verifizierte Schwachstellen gemeldet. Wir beleuchten die Gründe für die Zunahme, stellen die TOP 3 der kritischen Sicherheitslücken aus dem vergangenen Jahr vor und zeigen Ihnen, welche IT-Security Tools und Maßnahmen Sie für Ihr professionelles Schwachstellenmanagement nutzen sollten.

Steigende Anzahl von IT-Schwachstellen

Moderne Software bietet Unternehmen enormes Potenzial für Innovation, Wachstum und eine zukunftsgerichtete Entwicklung. Gleichzeitig birgt sie aufgrund ihrer zunehmenden Komplexität mehr Risiken – kein Tag vergeht ohne neue Schwachstellenmeldungen auf einschlägigen Sicherheitsportalen. In der Summe wurden 2021 mehr als 66.000 verifizierte Software-Schwachstellen gemeldet, was einem Plus von 20 Prozent im Vergleich zum Vorjahr entspricht. Das geht aus einem aktuellen Report der Sicherheitsplattform Hackerone hervor, die Unternehmen zur Koordinierung und Fehlerbehebung von IT-Sicherheitslücken mit Penetrationstestern, Cybersicherheitsforschern (Forensikern) und ethisch motivierten Hackern verbindet. Demnach ist die Zahl der gemeldeten Schwachstellen durch Pentests – also von dem jeweiligen Unternehmen autorisierte Hackerangriffe durch beauftragte IT-Sicherheitsexperten – sogar um 264 Prozent gestiegen.

Deshalb gibt es immer mehr IT-Schwachstellen

Die deutliche Zunahme von Schwachstellen ist zunächst auf die beschleunigte digitale Transformation von Unternehmen in Reaktion auf die Coronapandemie und eine damit verbundene vergrößerte Angriffsfläche zurückzuführen. Entscheider mussten binnen kurzer Zeit nach neuen Lösungen suchen, um das fortlaufende Business zu sichern und analoge Prozesse zu digitalisieren. Neue Technologien wie Cloud Computing wurden vielerorts eilig eingeführt, wodurch neue Sicherheitslücken entstanden.
Hinzu kommt, dass durch den vermehrten Einsatz neuer IT-Produkte der Verwaltungsaufwand der eigenen IT-Infrastruktur steigt, da die verwendeten Produkte immer auf dem aktuellen Stand gehalten werden sollten. Wird dies nicht umgesetzt, verwenden Unternehmen potenziell IT-Produkte, die Fehler oder Schwachstellen aufweisen – obwohl diese bereits vom Hersteller behoben wurden.
Der Anstieg der Schwachstellen ist laut dem genannten Sicherheitsbericht aber auch mit einem wachsenden Sicherheitsbewusstsein in Verbindung zu bringen. Unternehmen erkennen zunehmend die Relevanz von Sicherheitsmaßnahmen, durch die eine professionelle externe Bewertung ermöglicht wird – etwa in Zusammenarbeit mit der Deutschen Gesellschaft für Cybersicherheit (DGC) .

Doch welche Sicherheitslücken erwiesen sich im vergangenen Jahr als besonders kritisch? Die Sicherheitsexperten der DGC haben die TOP 3-Schwachstellen aus 2021 zusammengetragen, die tausende systematische und wiederholbare Cyberangriffe auf Unternehmen ermöglichten – und damit die enorme Reichweite von Hackerattacken in der zunehmend vernetzten Arbeitswelt veranschaulichen.

Log4Shell: 1. IT-Schwachstelle

  • Offizielle Benennung laut CVE-Referenziersystem: CVE-2021-44228
  • Betroffene Systeme: Sämtliche Systeme, die Apache Log4Shell einsetzen
  • Möglichkeit zur Schadensminderung (Mitigation): Patchen, also Software-Aktualisierung, der entsprechenden Systeme und Applikationen
  • Software-Patch verfügbar: Je nach Hersteller – ja

Log4Shell mit CVE 2021-44228 ist eine Schwachstelle im verbreiteten Java Logger Log4j, der unter anderem Teil des Apache Logging Service ist. Aufgrund der großen Verbreitung von Log4j hatte und hat die Schwachstelle einen sehr großen Einfluss auf Unternehmen und deren eingesetzte Softwarelösungen.

ProxyShell: 2. IT-Schwachstelle

  • Offizielle Benennungen laut CVE-Referenziersystem: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207
  • Betroffene Systeme: Microsoft Exchange Server – nicht Cloud
  • Möglichkeit zur Schadensminderung (Mitigation): Update des Exchange Servers
  • Software-Patch verfügbar: Ja

ProxyShell mit CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 ist eine Serie von Schwachstellen der E-Mail-Server Software Exchange von Microsoft, die vor allem in Unternehmen zum Einsatz kommt. Neben der einfachen Ausnutzbarkeit dieser Schwachstelle, zeichnet sie sich dadurch aus, dass ein Angreifer durch sie weitreichende Systemberechtigungen erlangen kann.

CVE-2021-2198: 3. IT-Schwachstelle

  • Betroffene Systeme: VMWare vCenter 
  • Möglichkeit zur Schadensminderung (Mitigation): Update des VMWare vCenter
  • Software-Patch verfügbar: Ja

CVE-2021-21985 verfügt über keinen speziellen Namen, hat aber nichtsdestotrotz einen großen Einfluss. Denn die betroffene Software VMWare vCenter wird vor allem im Enterprise-Bereich für die Virtualisierung von Systemen genutzt. Die Schwachstelle ermöglicht es Angreifern, großen Schaden in virtualisierten Umgebungen anzurichten – bei vergleichsweise einfacher Ausnutzbarkeit der Schwachstelle.

Professionelles Schwachstellenmanagement reduziert Risiken

Die Top 3-Schwachstellen in 2021 veranschaulichen, dass damit einhergehende Gefahren in der Regel gebannt werden können – sofern interne IT-Mitarbeitende wissen, dass die Systeme und Anwendungen ihres Unternehmens betroffen sind und Software-Hersteller bereits konkrete Korrekturmöglichkeiten in Form von Patches (Aktualisierungen) bieten.

Wer Risiken minimieren möchte, ist gut beraten, die eigene Systemlandschaft laufend mit IT-Security Tools wie cyberscan.io® von der DGC zu überwachen sowie den aktuellen Sicherheitsstand mit Pentests im Blick zu behalten.

Ein professionelles Schwachstellenmanagement ist auch deshalb wichtig, weil Schwachstellen nicht nur in Softwareprodukten zu finden sind. Oftmals entstehen sie durch menschliche Fehler – beispielsweise bei der Konfiguration von Anwendungen und Systemen oder durch den unbedachten Umgang mit Phishing-Mails. Hier können Zertifizierungen von Software-Anbietern beziehungsweise gezielte IT Security Awareness Trainings für Abhilfe sorgen.
Um interne IT-Teams zu entlasten, bietet sich zudem die Zusammenarbeit mit dem Cyber Defense Operations Center (CDOC) der DGC an: Die Sicherheitsanalysten bündeln Fachwissen aus unterschiedlichen IT-Sicherheitsbereichen mit automatisierter Problemerkennung: Durch den Einsatz des Tools cyberscan.io® wird ein umfassender Blick auf Systeme sowie Schwachstellen ermöglicht und so die Reaktionsfähigkeit beschleunigt.

IT-Schwachstellen – Prognose für 2022

Einige der bereits bekannten Schwachstellen wie Log4Shell werden Unternehmen auch 2022 noch beschäftigen – mitunter tauchen sie wieder auf, weil sie noch nicht richtig behandelt (gepatcht) wurden. Zudem ist im Allgemeinen davon auszugehen, dass sich kriminelle Aktivitäten wie Web Service-Angriffe, Phishing und Identitätsdiebstahl auf hohem Niveau fortsetzen.
Gleichzeitig werden neue Sicherheitslücken hinzukommen: Die Voraussage möglicher Software-Schwachstellen erweist sich jedoch als Blick in die Glaskugel, weshalb Unternehmen dem Rundumschutz ihrer IT-Infrastruktur hohe Relevanz beimessen sollten.

Sie möchten mehr darüber erfahren, wie Sie mit cyberscan.io und unserem CDOC-Team bestehende Sicherheitslücken frühzeitig erkennen, schließen und damit IT-Risiken reduzieren? Kontaktieren Sie uns – wir beraten Sie gerne persönlich.

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.