Lektion nicht gelernt: Viele Sicherheitslöcher bleiben ungepatched
Der Sicherheitsdienstleister Qualys veröffentlicht Ergebnisse seiner Beobachtung von Sicherheitslücken im Internet.
Qualys, Anbieter von Online-Schwachstellenscans, hat auf den Black Hat-Briefings Ergebnisse einer Beobachtung von Schwachstellen im Internet präsentiert. Über einen Beobachtungszeitraum von eineinhalb Jahren wurden mehr als 1,1 Millionen Scans auf 185.000 Systemen ausgewertet -- die Ergebnisse sind recht ernüchternd.
Nach der Veröffentlichung von kritischen Sicherheitslöchern und dem Bereitstellen von Security-Fixes ist die Hälfte der betroffenen Systeme noch nach 30 Tagen verwundbar. Viele Unternehmen benötigten sogar mehr als 60 Tage, um Schwachstellen zu beseitigen, die als weniger kritisch eingestuft wurden. In diesem Zeitraum werden allerdings für 80 Prozent der Sicherheitslöcher enstprechende Exploits in Umlauf gebracht.
Auch zeigte die Studie, dass einige Bedrohungen wieder akut sind. Code Red und SQL-Slammer sind weiterhin unterwegs; nach Aussage von Eschelbeck, CTO von Qualys, sogar mit zunehmender Tendenz. Seiner Theorie zufolge installieren Unternehmen veraltete Software, ohne sie hinreichend zu aktualiseren. In einer Podiumsdiskussion zu den von Qualys gefundenen Ergebnisssen äußerte sich Mary Ann Davidson, Chief Security Officer von Oracle: "Viele Unternehmen habe ihre Lektion nicht gelernt." Sicherheitsexperten stellten dem aber entgegen, dass die Hauptursache ja wohl in der unzulänglichen Serversoftware liege. (dab)
