• OSINT 2020: IT-Sicherheit in Oberösterreich

IT-Security Auswertung von öffentlicher Information zu oberösterreicher Unternehmen

blog-thumb

Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. Angriffe auf IT-Infrastruktur sind im Internet an der Tagesordnung. Diese Studie zeigt, dass viele oberösterreichische Unternehmen bezüglich ihrer Cyber-Resilienz Nachholbedarf haben.

Einleitung

Politische Anstrengungen im Bereich der Digitalisierung haben die Wichtigkeit von IT-Infrastruktur als Wirtschaftsfaktor für viele Unternehmen verstärkt in den Mittelpunkt gerückt. Der Trend zu Home-Office-Arbeitsplätzen zwingt viele Unternehmen in die Öffnung zum Internet. Diese Vergrößerung von öffentlich erreichbarer Angriffsoberfläche bedingt einen höheren Aufwand für die Wartung kritischer IT-Systeme - eine Tatsache, die viele Unternehmen zu unterschätzen scheinen.

Eckdaten

Das Ziel dieser Studie ist es, den Ist-Zustand von Unternehmen in Bezug auf deren IT-Schwachstellen-Management bzw. der Cyber-Resilienz ihrer IT-Infrastruktur zu ermitteln.

Die Stichprobengröße für Unternehmen im Bundesland Oberösterreich ist 7184 (n=7184).

In der Zielgruppe dieser Studie sind IT-Entscheider und IT-Verantwortliche in KMUs der Branchen “Bank und Versicherung”, “Gewerbe und Handwerk”, “Handel”, “Industrie”, “Information und Consulting”, “Tourismus und Freizeitwirtschaft” sowie “Transport und Verkehr”.

Die Daten wurden im Zeitraum vom 04.05.2020 - 29.05.2020 erhoben.

Im Mittelpunkt der Analyse stehen bekannte Sicherheits-Schwachstellen der Dienste und Applikationen auf den Server-Systemen, die von (oder im Auftrag von) oberösterreicher Unternehmen betrieben werden.

Die Datenbasis für diese Studie stammt aus einer öffentlichen Datenbank der Wirtschaftskammern Österreichs. Segmentiert nach Sparte und Bezirk wurden hier diejenigen Unternehmen selektiert, welche mit einer Internetdomain in Verbindung gebracht werden konnten. Die Analyse der mit der jeweiligen Internetdomain in Verbindung stehenden Server-Systeme wurde passiv (ohne direkten Zugriff auf diese Systeme) und mit öffentlich verfügbaren Informationen durchgeführt.

Basierend auf den Internetdomains der Unternehmen wurden sämtliche Hostnamen dieser Domains ermittelt. Mit der Liste von Hostnamen wurden im nächsten Schritt die IP-Adressen dieser Hostsysteme festgestellt. Die Schwachstellen-Information der einzelnen Hostsysteme stammen aus der Datenbasis der Computer-Suchmaschine Shodan. Die Kritikalität (CVSS) der einzelnen Schwachstellen wurde vom Portal cvedetails.com abgefragt.

Beschreibung der Stichprobe







Klassifizierung der Unternehmen nach Anzahl der Assets

Hier werden die Unternehmen aufgrund der Anzahl Ihrer - in der Stichprobe enthaltenen - öffentlich erreichbaren Server-IP-Adressen bzw. Assets in verschiedene Klassen unterteilt:

  • Sehr klein für 1 IP-Adresse
  • Klein für 2-5 IP-Adressen
  • Mittel für 6-15 IP-Adressen
  • Groß für 15-30 IP-Adressen
  • Sehr groß für mehr als 30 IP-Adressen


Diese Klassifizierung in Größen nach der Anzahl der öffentlich auffindbaren IT-Assets spiegelt nicht notwendigerweise die Größe des jeweiligen Unternehmens nach Mitarbeiterzahl wider.







Ergebnisse

Schwachstellenkritikalität

Für die Bewertung der Kritikalität gefundener Sicherheits-Schwachstellen wird die in der Industrie bewährte objektive CVSS-Metrik verwendet. Die Bewertung der Sicherheitskritikalität für ein Unternehmen bzw. eine Domäne erfolgt aufgrund der höchsten CVSS-Bewertung, die für Server-Assets eines Unternehmens gefunden wurde.

Die Bewertung der Schwachstellenkritikalität erfolgt nach CVSS v2:

  • hohe Kritikalität für CVSS-Werte von 7 bis 10
  • mittlere Kritikalität für CVSS-Werte von 4 bis 6,9
  • niedrige Kritikalität für CVSS-Werte von 0 bis 3,9










Schwachstellenanzahl










Schwachstellen-Alter

Die CVE-Bezeichnung jeder Schwachstelle enthält die Jahreszahl der Veröffentlichung der jeweiligen Schwachstelle. In den folgenden Diagrammen wird das Alter der identifizierten Schwachstellen in Abhängigkeit von Sparte, Bezirk und Unternehmensklasse dargestellt.

Die Altersklassifizierung ist wie folgt:

  • bis 2 Jahre
  • 2 bis 6 Jahre
  • älter als 6 Jahre










Interpretation

Bei 29,82% der Unternehmen in Oberösterreich konnten kritische Sicherheits-Schwachstellen in der öffentlich erreichbaren Server-Infrastruktur identifiziert werden.

38,02% der Industriebetriebe in Oberösterreich exponieren kritische Schwachstellen in ihrer öffentlich erreichbaren Server-Infrastruktur.

Während die mittlere Schwachstellen-Belastung im gesamten Bundesland bei etwa 9,05 Schwachstellen pro Unternehmen liegt, fällt auf, dass in den oberösterreichischen Stadtbezirken Linz, Steyr und Wels Unternehmen in Schnitt mit 19,54 , 21,57 und 15,42 Schwachstellen pro Unternehmen deutlich über dem Durchschnitt liegen.

85,36% der Schwachstellen sind älter als 2 Jahre und können somit größtenteils mit bereits verfügbaren Tools für Angriffe missbraucht werden.

Fazit

Der Nachweis von bekannten Sicherheits-Schwachstellen auf öffentlich erreichbaren Servern ist ein Gradmesser für den Umgang der jeweiligen Unternehmen mit dem Thema IT-Sicherheit. Wie viele IT-Sicherheits-Studien belegen, ist die Ausnutzung bekannter Sicherheitsschwachstellen, die älter als ein Jahr sind, verantwortlich für über 90% der erfolgreich auf Server-Infrastruktur durchgeführten Angriffe.

Eine Kette ist nur so stark wie ihr schwächstes Glied: Eine Schwachstelle reicht aus um ein Unternehmen zu kompromittieren.

Ist der Angriff auf ein Server-System erfolgreich, so kann - je nach exponierter Schwachstelle - die Verfügbarkeit, die Vetraulichkeit und/oder die Integrität der jeweiligen Infrastruktur und deren Daten nicht mehr gewährleistet werden. Mit anderen Worten: Es kommt zu Datenleaks, Systemausfällen und zur kriminellen Verwendung von betroffenen Systemen. Das hat zur Folge, dass auf diese Weise komprommitierte Unternehmen ihr erarbeitetes Know-How an den Mitberwerb verlieren. Ihre Reputation leidet und sie haben infolge solcher Angriffe mit wirtschaftlichen Konsequenzen zu rechnen.

Die hier verwendete quantitative Untersuchungsmethode unter Zuhilfenahme öffentlicher Daten erlaubt Aussagen über die Gesamtsituation vieler Unternehmen. Diese Methode wird ebenfalls von Cyberkriminellen verwendet, um Ziele für Angriffe zu identifizieren.

Im Einzelfall empfehlen wir für die bestmögliche Risikotransparenz die regelmäßige Durchführung von Schwachstellenscans auf die gesamte IT-Infrastruktur und die gezielte Überprüfung von Anwendungen, die mit besonders sensiblen Daten zu tun haben und/oder individuell für eine kleine Benutzerzahl entwickelt wurden. Mit Hilfe von definierten Prozessen kann die Cyber-Resilienz langfristig auf einem konstanten Level gehalten werden.

Abgrenzungen

Die verwendeten Informationen zu existierenden Schwachstellen auf Internet-Systemen sind nicht immer zu 100% zutreffend. Die Art und Weise, wie deren Existenz ermittelt wird, ist vergleichsweise oberflächlich und betrachtet meist nur eine Teilmenge der Dienste und Applikationen, die auf einem Server-System angeboten werden. Eine genauere Einschätzung der Risikoexposition ist meist nur durch eine eingehende Untersuchung mittels zeitintensiven Schwachstellen-Scans möglich.

Unserer Einschätzung nach ist die Identifikation von bekannten Schwachstellen auf Systemen eine der wirkungsvollsten Maßnahmen für einen hohen Grad von Cyber-Resilienz. Neben der Schwachstellen-Analyse gibt es weitere Maßnahmen zur Erhöhung der Cyber-Resilienz. Diese wurden in dieser quantitativen Studie nicht betrachtet.

Aufgrund der verwendeten Methode kann davon ausgegangen werden, dass nicht alle existierenden Unternehmen im Land Oberösterreich in dieser Studie erfasst sind. Außerdem wird davon ausgegangen, dass nicht alle existierenden Systeme der jeweiligen Unternehmen analysiert werden konnten, da die öffentliche Information in diesem Bereich nicht umfassend ist. Tendenziell kann aufgrund der vorgestellten Daten davon ausgegangen werden, dass mit einer höheren Anzahl von Systemen auch die Anzahl der angreifbaren Systeme zunimmt.

Hinweis

Trotz der öffentlichen Verfügbarkeit der in dieser Studie verarbeiteten Daten stellt die Veröffentlichung dieser Daten als Zusammenstellung ein zusätzliches Risiko für die betroffenen Unternehmen dar. Unternehmen können via E-Mail an studie-oberoesterreich@it-wachdienst.com Information zu der jeweiligen Absender-Domain der E-Mail anfordern.