IT-Sicherheitslücken: Hacker starten Attacken schon nach 15 Minuten

Das Forscherteam Unit 42 des US-IT-Sicherheitsunternehmens Palo Alto Networks veröffentlichte aktuell einen Report zur Schadensregulierung bei IT-Sicherheitslücken. Analysiert wurden darin über 600 Schadensfälle und wie mit ihnen umgegangen wurde. Ziel war es, Rückschlüsse über das Verhalten von Hackern zu ziehen. Wie Heise zu den Ergebnissen ausführt, werde vor allem das Zeitfenster, in dem Unternehmen auf entdeckte Sicherheitslücken reagieren können, immer kleiner: So suchen Kriminelle bereits 15 Minuten nach Bekanntgabe einer Schwachstelle im System aktiv nach möglichen Opfern.

Zero-Day-Lücken zunehmend beliebte Angriffsziele

Dem Bericht zufolge gibt es zwar auch weiterhin Hacker, die auf ältere Sicherheitslücken abzielen, aber die Zahl derer, die zeitnah auf sogenannte Zero-Day-Lücken anspringen, nimmt merklich zu. Als Zero-Day-Lücken bezeichnet man frisch entdeckte Schwachstellen, bei denen Unternehmen praktisch nicht einmal ein Tag Zeit bleibt, das Problem zu lösen, ohne dass dies bereits ausgenutzt wird.

Neue Sicherheitslücken werden in der IT-Branche mit einer „Common Vulnerabilities and Exposures“-Nummer (CVE) gekennzeichnet. Wie die Forscher herausfanden, starten bereits 15 Minuten nach der Bekanntgabe einer neuen CVE-Nummer Scans für mögliche betroffene Computer. So lagen in einem der im Report analysierten Fälle bereits nach zehn Stunden 2.552 versuchte Angriffe vor. 

Phishing ist die beliebteste Methode

Wie die Untersuchung der Vorfälle zudem zutage brachte, sind Phishing-Attacken mit 37 Prozent Anteil die beliebteste Methode, durch die sich Dritte Zugang zu einem System verschaffen. Knapp dahinter, mit 31 Prozent, steht das Ausnutzen von softwarebedingten Sicherheitslücken. Im Zuge dessen verwiesen die Studienautoren auch auf das erhöhte Risiko, welches von der Nutzung sogenannter End-of-Life-Software ausgeht – also Software, deren Sicherheitsupdates vom Hersteller bereits eingestellt wurden. 

Die Anzahl weiterer Angriffsmethoden, wie das Abfragen von schwachen Passwörtern durch Trial-and-Error, Insider-Bedrohungen oder Social Engineering, bewegt sich jeweils im einstelligen Prozentbereich. Am häufigsten wurden ProxyShell-Lücken (55 Prozent) sowie die Log4j-Lücke (14 Prozent) ausgenutzt. 

Vor allem aus dem immer kürzer werdenden Zeitfenster sollten Unternehmen Rückschlüsse ziehen: Der Aufbau einer eigenen Cybersicherheitsabteilung oder die Beauftragung von externen Experten scheint in der heutigen Zeit unabdinglich.