Hereinspaziert: Die Top 10 der Schwachstellen für Cybersicherheit

Security Hereinspaziert: Die Top 10 der Schwachstellen für Cybersicherheit

10.07.2019Von Sebastian Human

In einer zunehmend vernetzten Welt kommt dem Thema Cybersicherheit, also Security, konstant wachsende Bedeutung zu. Um sich wirkungsvoll zu schützen, muss man jedoch erstmal potenzielle Schwachstellen als solche erkennen – wir haben die Top 10 zusammengefasst.

Anbieter zum Thema

HackerOne Inc.

NovaStor GmbH

Parasoft® Deutschland GmbH

TXOne networks

Auf der Mission, sich vor Cyberangriffen zu schützen, ist es hilfreich, potenzielle Einfallstore für Angreifer zu kennen.
(Bild: gemeinfrei / Pixabay )

HackerOne, die weltweit führende Plattform für Hacker-getriebene Sicherheit, veröffentlicht erstmals einen Forschungseinblick hinsichtlich der 10 wirkungsvollsten Sicherheitsschwachstellen, die im Rahmen seiner Programme gemeldet wurden. An diesen Schwachstellen haben die bei der Plattform registrierten Hacker über 54 Millionen Dollar an Bounties verdient.

HackerOne hat eine interaktive Seite veröffentlicht, auf der die Schwachstellen mit dem höchsten Schweregrad verzeichnet sind. Dieser bezieht sich zum einen auf die Zahl der Meldungen insgesamt, zum anderen auf die Häufigkeit mit der diese Schwachstellen seitens der Industrie gemeldet wurden. Die Daten basieren auf über 120.000 gemeldeten Schwachstellen aus mehr als 1.400 Kundenprogrammen weltweit.

Die HackerOne Top 10 der Sicherheitsschwachstellen

1. Cross-site Scripting-Angriffe - AlleTypen (DOM-basiert, reflektiert, beständig, generisch)

2. Unsachgemäße Authentifizierung - Generisch

3. Offenlegung von Informationen

4. Privilege Escalation/Privilegienerweiterung

5. SQL-Injektion

6. Code-Injektion

7. Server-Side Request Forgery (SSRF) – serverseitige Fälschung von Anforderungen

8. Insecure Direct Object Reference (IDOR) – Objektreferenz auf diese Objekte ist manipulierbar

9. Unsachgemäß vergebene Zugriffsberechtigungen/Zugriffskontrolle - Generisch

10. Cross-Site Request Forgery (CSRF) – Unterschieben eines ungewollten Webaufrufs

Dazu Miju Han von HackerOne: “Wir sehen eine 40 %ige Überschneidung zwischen den Top 10 Sicherheitsschwachstellen mit der jüngsten OWASP Top 10-Veröffentlichung. Cross-site Scripting-Angriffe (XSS), das Offenlegen von Informationen und Injektionsvarianten sind auf beiden Listen vertreten. Beide Quellen unterstützen Sicherheitsabteilungen dabei, die größten Risiken zu erkennen. Unsere Liste bezieht zusätzlich mit ein, wie oft die betreffenden Schwachstellen aufgetreten sind und wie sich ihr Wert in Bug Bounties beziffert. Das sollte für Sicherheitsteams von besonderem Interesse sein, wenn man sich vor kriminellen Hackern schützen will.”

Buchtipp IT-Sicherheit

Die beiden Fachbücher „Industrial IT Security“ und „Cybersicherheit“ führen Sie grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Sicherheit heran. „Industrial IT Security“ legt einen Fokus auf den Schutz vernetzter Steuer- und Sensorsysteme in heutigen Produktionsanlagen entlang der Automatisierungspyramide. „Cybersicherheit“ beleuchtet das Thema stärker aus einer Management-Perspektive und geht dabei insbesondere auf die drei technischen Aktionsfelder IT, IoT und OT sowie auf die Unternehmensorganisation und das Risikomanagement ein.

Mehr erfahren bei Vogel Fachbuch

Miju weiter: “Wenn man sich die kumulative Höhe der Bounties anschaut, die für kritische und höchst schwerwiegende Bugs gezahlt wurden, macht die Summe 60 % der insgesamt ausgezahlten Bug Bounties aus. Wenn man die Zahl der gemeldeten Schwachstellen untereinander vergleicht, sind darunter drei Mal so viele schwerwiegende Bugs gegenüber kritischen gemeldet. Auf der anderen Seite summieren sich die für minder schwere Bugs gezahlten Bounties auf nur 8 % der Gesamtsumme, die in etwa 30 % der Zahl der gemeldeten Schwachstellen entspricht.

Wir sind jetzt in der glücklichen Lage das umfassende Datenmaterial mit unseren Kunden und der Industrie zu teilen. Diese Informationen gestatten eine zuverlässige Einschätzung, welche Schwachstellen wahrscheinlich am teuersten werden.”

Wenn Menschen und Maschinen ihre jeweiligen Kernkompetenzen vereinen, lassen sich Hacker leichter abwehren.

Aufklappen für Details zu Ihrer Einwilligung

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

(ID:46004612)

Security Hereinspaziert: Die Top 10 der Schwachstellen für Cybersicherheit

Web-Konferenz

Industrial Cyber Security

Die HackerOne Top 10 der Sicherheitsschwachstellen

Buchtipp IT-Sicherheit

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Einwilligung in die Verwendung von Daten zu Werbezwecken

Karrierechancen