Über 20.000 Schwachstellen im Jahr 2017 entdeckt

Gleich vorneweg: Hier geht es nicht nur um Windows alleine. Sondern um Sicherheitslücken, die allgemein in Software oder Betriebssystemen gefunden wurden. Wenn man die Zahl von 20.832 Schwachstellen so liest, wird einem schwindelig. Man möchte lieber den Stecker ziehen und auf ein Schieferbrett mit Griffel zurückgreifen, um sich Notizen zu machen. Aber ganz so schlimm ist es dann nun doch nicht.

Von den entdeckten Lücken wurden von der Common Vulnerability Enumeration (CVE) und der National Vulnerability Database (NDD) von MITER 7.900 Schwachstellen nicht einmal mit einer CVE-Nummer ausgestattet, damit sie in der Datenbank erscheinen. 7.000 davon erhielten einen Reserved-CVE-Status. Somit waren sie zwar gemeldet, blieben aber ohne eine offizielle CVE-Nummer. Einer der Gründe sind die massiven Lücken, die in IoT-Geräten aufgetaucht sind.

Die folgenden Daten stammen aus dem 20 seitigen Risk Based Security Bericht 2017, den die Kollegen von Bleeping Computer einmal durchforstet haben. Darunter sind einige interessante Zahlen und Statistiken. Hier einmal übersetzt für euch:

Statistik Sicherheitslücken 2017

• Die Gesamtzahl der Schwachstellen (20.832) stieg gegenüber 2016 um 31%.
• 39,3% aller Schwachstellen erhielten einen CVSSv2-Score von 7 oder höher.
• 44,5% der Schwachstellen, die keinen CVE erhalten haben, hatten einen CVSSv2-Score von 7 oder höher.
• 44,8% aller Schwachstellen wurden mit dem Anbieter abgestimmt offengelegt.
• 5,9% der 2017 Schwachstellen wurden durch Bug-Bounty-Programme gemeldet.
• Zwölf Unternehmen machten 54,25% aller Sicherheitslücken aus.
• Web-bezogene Schwachstellen machten 50,6% aller Schwachstellen aus.
• 31,5% der 2017 Schwachstellen haben öffentliche Exploits.
• 48,5% der 2017 Schwachstellen können aus der Ferne ausgenutzt werden.
• 24,1% der 2017 Schwachstellen haben keinen Patch erhalten.
• Cross-Site Scripting (XSS) war der am häufigsten auftretende Sicherheitsfehler (28,9%).
• Google-Produkte waren von 503 Bugs mit einem CVSSv2-Score von über 9 betroffen.
• Google Pixel/Nexus-Geräte waren von 354 Bugs mit einem CVSSv2-Score von über 9 betroffen.
• Die Hälfte aller von der RBS verfolgten Kryptowährungsfehler wurde 2017 gemeldet (60 von 121).
• 18,77% der Schwachstellen, die nicht in CVE/NVD gefunden wurden, werden als „Kritisches Risiko“ (9.0 -10) gelistet.
• Google-Produkte sind für die meisten Bugs, die nicht in CVE/NVD (125) enthalten sind, verantwortlich, gefolgt von Trend Micro (70), SAP (57), Open Source Geospatial (48) und Jenkins CI (31).
• Chrome OS ist das Spitzenprodukt, wenn es um Schwachstellen ohne CVE/NVD-Kennung geht (88).

Angriffe auf Datenbanken Sicherheitsverletzungen 2017

Auch bei den Datenbankverstößen gab es einen neuen Rekord. 5.207 Datenverstöße deckten 7,89 Milliarden Benutzerdatensätze auf. Das sind 20% bzw. 24,2% mehr als 2015 und 2016.

• Die 5 größten Sicherheitsverletzungen im Jahr 2017 enthüllten etwa 5,7 Milliarden Datensätze oder 72,2% aller Datensätze.
• 40% der Sicherheitsverletzungen im Jahr 2017 konnten nicht bis zur Quelle zurückverfolgt werden.
• Web-basierte unbeabsichtigte Exposition war die Hauptursache für die meisten der exponierten Datensätze im Jahr 2017 (68,7%), machte aber kaum 5% aller Verstöße aus.
• Die meisten Sicherheitsverletzungen ereigneten sich aufgrund von Hackerangriffen (55,8% der Vorfälle).
• 89 Sicherheitsverletzungen haben 2017 über 1 Million Datensätze durchsickern lassen.
• 2017 endete mit 8 Verstößen auf der Top 20 Liste der größten Sicherheitsverletzungen aller Zeiten.

Jetzt könnt ihr sicherlich meinen Eingangssatz verstehen. Das die Zahl der gemeldeten Sicherheitslücken immer weiter steigt, liegt eben einmal an den unsicheren IoT-Geräten und natürlich auch an der immer komplexeren Software, die in den Systemen und Programmen eingesetzt wird.

Quelle: pages.riskbasedsecurity via: bleepingcomputer