Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. Angriffe auf IT-Infrastruktur sind im Internet an der Tagesordnung. Diese Studie zeigt, dass viele niederösterreichische Unternehmen bezüglich ihrer Cyber-Resilienz Nachholbedarf haben.
Politische Anstrengungen im Bereich der Digitalisierung haben die Wichtigkeit von IT-Infrastruktur als Wirtschaftsfaktor für viele Unternehmen verstärkt in den Mittelpunkt gerückt. Der Trend zu Home-Office-Arbeitsplätzen zwingt viele Unternehmen in die Öffnung zum Internet. Diese Vergrößerung von öffentlich erreichbarer Angriffsoberfläche bedingt einen höheren Aufwand für die Wartung kritischer IT-Systeme - eine Tatsache, die viele Unternehmen zu unterschätzen scheinen.
Das Ziel dieser Studie ist es, den Ist-Zustand von Unternehmen in Bezug auf deren IT-Schwachstellen-Management bzw. der Cyber-Resilienz ihrer IT-Infrastruktur zu ermitteln.
Die Stichprobengröße für Unternehmen im Bundesland Niederösterreich ist 9514 (n=9514).
In der Zielgruppe dieser Studie sind IT-Entscheider und IT-Verantwortliche in KMUs der Branchen “Bank und Versicherung”, “Gewerbe und Handwerk”, “Handel”, “Industrie”, “Information und Consulting”, “Tourismus und Freizeitwirtschaft” sowie “Transport und Verkehr”.
Die Daten wurden im Zeitraum vom 04.05.2020 - 29.05.2020 erhoben.
Im Mittelpunkt der Analyse stehen bekannte Sicherheits-Schwachstellen der Dienste und Applikationen auf den Server-Systemen, die von (oder im Auftrag von) niederösterreichischen Unternehmen betrieben werden.
Die Datenbasis für diese Studie stammt aus einer öffentlichen Datenbank der Wirtschaftskammern Österreichs. Segmentiert nach Sparte und Bezirk wurden hier diejenigen Unternehmen selektiert, welche mit einer Internetdomain in Verbindung gebracht werden konnten. Die Analyse der mit der jeweiligen Internetdomain in Verbindung stehenden Server-Systeme wurde passiv (ohne direkten Zugriff auf diese Systeme) und mit öffentlich verfügbaren Informationen durchgeführt.
Basierend auf den Internetdomains der Unternehmen wurden sämtliche Hostnamen dieser Domains ermittelt. Mit der Liste von Hostnamen wurden im nächsten Schritt die IP-Adressen dieser Hostsysteme festgestellt. Die Schwachstellen-Information der einzelnen Hostsysteme stammen aus der Datenbasis der Computer-Suchmaschine Shodan. Die Kritikalität (CVSS) der einzelnen Schwachstellen wurde vom Portal cvedetails.com abgefragt.
Hier werden die Unternehmen aufgrund der Anzahl Ihrer - in der Stichprobe enthaltenen - öffentlich erreichbaren Server-IP-Adressen bzw. Assets in verschiedene Klassen unterteilt:
Diese Klassifizierung in Größen nach der Anzahl der öffentlich auffindbaren IT-Assets spiegelt nicht notwendigerweise die Größe des jeweiligen Unternehmens nach Mitarbeiterzahl wider.
Für die Bewertung der Kritikalität gefundener Sicherheits-Schwachstellen wird die in der Industrie bewährte objektive CVSS-Metrik verwendet. Die Bewertung der Sicherheitskritikalität für ein Unternehmen bzw. eine Domäne erfolgt aufgrund der höchsten CVSS-Bewertung, die für Server-Assets eines Unternehmens gefunden wurde.
Die Bewertung der Schwachstellenkritikalität erfolgt nach CVSS v2:
Die CVE-Bezeichnung jeder Schwachstelle enthält die Jahreszahl der Veröffentlichung der jeweiligen Schwachstelle. In den folgenden Diagrammen wird das Alter der identifizierten Schwachstellen in Abhängigkeit von Sparte, Bezirk und Unternehmensklasse dargestellt.
Die Altersklassifizierung ist wie folgt:
Bei 28,65% der Unternehmen in Niederösterreich konnten kritische Sicherheits-Schwachstellen in der öffentlich erreichbaren Server-Infrastruktur identifiziert werden.
Im Bezirk St. Pölten sind knapp 33% (32,95%) der Betriebe von Schwachstellen betroffen.
Unternehmen in den Bezirken Hollabrunn, Horn und Zwettl sind mit Mittelwerten von 19,06 , 18,51 und 21,94 Schwachstellen pro Unternehmen überdurchnittlich hoch belastet.
Die mittlere Schwachstellen-Belastung pro Server ist im Bezirk Hollabrunn mit einem Mittelwert von 3,49 Schwachstellen pro Serversystem im Vergleich zu den anderen niederösterreichischen Bezirken am höchsten.
88,75% der Schwachstellen in Neunkirchen sind älter als 2 Jahre und können somit größtenteils mit bereits verfügbaren Tools für Angriffe missbraucht werden.
Der Nachweis von bekannten Sicherheits-Schwachstellen auf öffentlich erreichbaren Servern ist ein Gradmesser für den Umgang der jeweiligen Unternehmen mit dem Thema IT-Sicherheit. Wie viele IT-Sicherheits-Studien belegen, ist die Ausnutzung bekannter Sicherheitsschwachstellen, die älter als ein Jahr sind, verantwortlich für über 90% der erfolgreich auf Server-Infrastruktur durchgeführten Angriffe.
Eine Kette ist nur so stark wie ihr schwächstes Glied: Eine Schwachstelle reicht aus um ein Unternehmen zu kompromittieren.
Ist der Angriff auf ein Server-System erfolgreich, so kann - je nach exponierter Schwachstelle - die Verfügbarkeit, die Vetraulichkeit und/oder die Integrität der jeweiligen Infrastruktur und deren Daten nicht mehr gewährleistet werden. Mit anderen Worten: Es kommt zu Datenleaks, Systemausfällen und zur kriminellen Verwendung von betroffenen Systemen. Das hat zur Folge, dass auf diese Weise komprommitierte Unternehmen ihr erarbeitetes Know-How an den Mitberwerb verlieren. Ihre Reputation leidet und sie haben infolge solcher Angriffe mit wirtschaftlichen Konsequenzen zu rechnen.
Die hier verwendete quantitative Untersuchungsmethode unter Zuhilfenahme öffentlicher Daten erlaubt Aussagen über die Gesamtsituation vieler Unternehmen. Diese Methode wird ebenfalls von Cyberkriminellen verwendet, um Ziele für Angriffe zu identifizieren.
Im Einzelfall empfehlen wir für die bestmögliche Risikotransparenz die regelmäßige Durchführung von Schwachstellenscans auf die gesamte IT-Infrastruktur und die gezielte Überprüfung von Anwendungen, die mit besonders sensiblen Daten zu tun haben und/oder individuell für eine kleine Benutzerzahl entwickelt wurden. Mit Hilfe von definierten Prozessen kann die Cyber-Resilienz langfristig auf einem konstanten Level gehalten werden.
Die verwendeten Informationen zu existierenden Schwachstellen auf Internet-Systemen sind nicht immer zu 100% zutreffend. Die Art und Weise, wie deren Existenz ermittelt wird, ist vergleichsweise oberflächlich und betrachtet meist nur eine Teilmenge der Dienste und Applikationen, die auf einem Server-System angeboten werden. Eine genauere Einschätzung der Risikoexposition ist meist nur durch eine eingehende Untersuchung mittels zeitintensiven Schwachstellen-Scans möglich.
Unserer Einschätzung nach ist die Identifikation von bekannten Schwachstellen auf Systemen eine der wirkungsvollsten Maßnahmen für einen hohen Grad von Cyber-Resilienz. Neben der Schwachstellen-Analyse gibt es weitere Maßnahmen zur Erhöhung der Cyber-Resilienz. Diese wurden in dieser quantitativen Studie nicht betrachtet.
Aufgrund der verwendeten Methode kann davon ausgegangen werden, dass nicht alle existierenden Unternehmen im Land Niederösterreich in dieser Studie erfasst sind. Außerdem wird davon ausgegangen, dass nicht alle existierenden Systeme der jeweiligen Unternehmen analysiert werden konnten, da die öffentliche Information in diesem Bereich nicht umfassend ist. Tendenziell kann aufgrund der vorgestellten Daten davon ausgegangen werden, dass mit einer höheren Anzahl von Systemen auch die Anzahl der angreifbaren Systeme zunimmt.
Trotz der öffentlichen Verfügbarkeit der in dieser Studie verarbeiteten Daten stellt die Veröffentlichung dieser Daten als Zusammenstellung ein zusätzliches Risiko für die betroffenen Unternehmen dar. Unternehmen können via E-Mail an studie-niederoesterreich@it-wachdienst.com Information zu der jeweiligen Absender-Domain der E-Mail anfordern.