Eschelbecks neue Untersuchungen zu den „Laws of Vulnerabilities“ zeigen wachsende Bedrohung für interne Netzwerke

Black Hat Briefings, Las Vegas, Nevada — August 2, 2004 — Gerhard Eschelbeck, CTO von Qualys™, Inc., dem führenden Anbieter von On-Demand-Lösungen für Schwachstellenmanagement, stellte heute in Weiterführung seiner bekannten Studie „Laws of Vulnerabilities“ neue Untersuchungen vor. Die „Laws of Vulnerabilities“ (Gesetze der Sicherheitslücken) werden vom branchenweit größten Datenbestand zu Sicherheitsanfälligkeiten hergeleitet. Die neuen Untersuchungen machen deutlich, dass im Lauf des letzten Jahres zwar erhebliche Fortschritte beim Schutz des Netzwerkperimeters erzielt wurden, die Gefahr von Angriffen auf Systeme innerhalb von Firmennetzen jedoch gewachsen ist.

Die Daten zeigen insbesondere, dass Firmen derzeit im Schnitt 62 Tage benötigen, um ihre internen Systeme zu patchen – im Gegensatz zu 21 Tagen bei Systemen, die direkt ans Internet angebunden sind. Innerhalb dieses Zeitfensters sind interne Systeme und Anwendungen, wie etwa Internet-Browser und Mail-Server, anfällig für Angriffe. Diese und weitere Trends wurden aus der statistischen Analyse von nahezu 4 Millionen kritischen Sicherheitslücken abgeleitet, die bei 6,5 Millionen Scans während eines Zeitraums von zweieinhalb Jahren erfasst wurden. Im vergangenen Jahr beruhte die Untersuchung auf 1,5 Millionen Scans, die innerhalb eines Zeitraums von eineinhalb Jahren durchgeführt worden waren.

„Die Untersuchungen belegen eindeutig, dass die Sicherheitslage interner Netze weiterhin höchst besorgniserregend ist. Erstmals stehen uns jetzt reale Daten zur Verfügung, die zeigen, wie angreifbar diese Systeme tatsächlich sind. Unsere Branche kann sich nicht nur auf das Grenznetz konzentrieren, denn dann bleiben unsere internen Systeme Angriffen schutzlos ausgesetzt“, sagte Howard A. Schmidt, ehemaliger Berater für Cyber-Sicherheit beim US-Präsidenten. „Gerhard Eschelbeck liefert mit seiner Studie eine einzigartige Analyse globaler Schwachstellendaten, die uns hilft, Trends zu prognostizieren, Bedrohungen auszumachen und Netzwerke effektiv zu schützen.”

Die vollständigen Ergebnisse der Studie sind unter www.qualys.com/laws zu finden. Zusammengefasst lauten sie wie folgt:

1. Halbwertszeit: Die Halbwertszeit beschreibt, wie lange Anwender brauchen, um die Hälfte ihrer Systeme zu patchen und das „Fenster der Gefährdung“ (window of exposure) zu verkleinern. Die Halbwertszeit kritischer Sicherheitslücken beträgt bei externen Systemen 21 Tage und bei internen Systemen 62 Tage. Mit abnehmendem Problemschweregrad verdoppelt sich diese Zahl.
2. Verbreitung: Jährlich werden 50 Prozent der am meisten verbreiteten und kritischsten Sicherheitslücken durch neue Sicherheitslücken abgelöst. Mit anderen Worten: Es kommen unablässig neue, kritische Sicherheitslücken auf, die geschlossen werden müssen.
3. Wirkungsdauer: Einige Sicherheitslücken und Würmer haben eine unbegrenzte Lebensdauer. Tatsächlich zeigt die Untersuchung, dass die Würmer Blaster und Nachi im Lauf des Jahres 2004 mehrmals epidemieartig auftraten – Monate nach ihrem ursprünglichen Auftauchen.
4. Ausnützung: Der Zyklus von der Entdeckung einer Sicherheitslücke bis zu ihrer Ausnützung schrumpft schneller als der Zyklus der Behebung von Sicherheitslücken. 80 Prozent aller Würmer und automatisierten Exploits werden während der beiden ersten Halbwertszeiten kritischer Sicherheitslücken entwickelt.

„Bei der Verkleinerung des „Fensters der Gefährdung“ für externe Systeme haben wir beträchtliche Fortschritte erzielt. Den internen Systemen schenken wir dagegen noch viel zu wenig Aufmerksamkeit“, erklärte Gerhard Eschelbeck, CTO und VP of Engineering bei Qualys. „In unserer Top-10-Liste der kritischsten Sicherheitslücken erscheinen ständig Sicherheitsanfälligkeiten in Webbrowsern, Datencentern, Mail-Servern und anderen internen Systemen. In den meisten Fällen zirkulieren Würmer schneller, als die Systeme innerhalb des Netzwerks gepatcht werden. Die Unternehmen müssen den Schutz ihrer internen Systeme offensiver betreiben.“

Neben Trenddaten zu Sicherheitslücken veröffentlicht Qualys auch eine Echtzeitliste der zehn kritischsten und am weitesten verbreiteten Sicherheitslücken, sowohl für interne als auch für externe Systeme. Wie oben ausgeführt, zeigt das Gesetz von der Verbreitung von Sicherheitslücken, dass laufend neue kritische Lücken aufkommen, weshalb sich Unternehmen proaktiv auf immer neue Bedrohungen einstellen müssen. Aus diesem Grund werden die Top-10-Listen für interne und externe Sicherheitslücken automatisch und kontinuierlich aktualisiert. Die Top-10-Listen sind im Internet unter www.qualys.com/top10 zu finden.

Über Qualys

Qualys ist der führende Anbieter von On-Demand-Lösungen für Schwachstellenmanagement. Das Unternehmen versetzt Firmen und Institutionen aller Größen in die Lage, ihre Netzwerke effektiv zu schützen, automatische Sicherheitsaudits durchzuführen und die Einhaltung von Vorschriften zu gewährleisten. Qualys automatisiert den gesamten Prozess der proaktiven Ermittlung und Behebung von Sicherheitslücken und erlaubt es, Würmer und andere Bedrohungen schnellstmöglich entsprechend ihren potenziellen Auswirkungen auf den Geschäftsbetrieb einzustufen und zu neutralisieren. Die On-demand-Technologie von Qualys bietet den Kunden erhebliche wirtschaftliche Vorteile, da für Deployment und Management keine Investitionsausgaben anfallen und keine eigene Infrastruktur erforderlich ist. Verteiltes Scannen und beispiellose Skalierbarkeit machen den Webservice QualysGuard zur idealen Lösung für große, verzweigte Unternehmen. Tausende von Kunden vertrauen bereits auf Qualys – darunter DuPont, Hershey Foods, Hewlett-Packard und die Standard Chartered Bank. Die Zentrale von Qualys befindet sich in Redwood City, Kalifornien. Das Unternehmen unterhält Niederlassungen in Frankreich, Deutschland, Großbritannien, Japan, Singapur, Australien, Korea und in der Volksrepublik China. Weitere Informationen erhalten Sie unter www.qualys.com.

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For any further German press information please contact

Contact: Qualys Deutschland GmbH

+49 (0) 89 - 9 70 07 - 146
+49 (0) 98 / 9 70 07 - 200
München Airport - Terminalstr.
Mitte 18 - D-85356 München
pr@qualys.com

Contact: Ursula Kafka
Kafka Kommunikation
+49 (0) 8152/999 840
+49 (0) 8152/999 842
Breitbrunner Straße 40
D – 82229 Seefeld
pr-de@qualys.com

For all other matters

Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com