Hackerone-Report
Starke Zunahme von Schwachstellen
Foto: Sashkin - shutterstock.com
Laut den Ergebnissen des aktuellen "Hacker-Powered Security Report: Industry Insights" wurden im Jahr 2021 mehr als 66.000 verifizierte Schwachstellen gemeldet - das sind rund 20 Prozent mehr als im Vorjahr. Während bei den traditionellen Bug-Bounty-Programmen die Zahl der validierten Schwachstellenmeldungen um zehn Prozent zunahm, verzeichneten die Vulnerability Disclosure Programs (VDPs) einen Anstieg um 47 Prozent. Die Meldungen der Hacker-gestützten Pentests wuchsen um 264 Prozent.
Der am häufigsten entdeckte Fehler, so der Bericht, lag nach wie vor im Cross Site Scripting, also in der Ausnutzung einer Sicherheitslücke in Webanwendungen. Aber auch in anderen Fehlerkategorien ist die Zahl der Meldungen seit 2020 deutlich gestiegen. Die Offenlegung von Informationen (Information Disclosure) verzeichnete einen Anstieg von 58 Prozent und Business Logic Errors (Geschäftslogikfehler) einen Anstieg von 67 Prozent.
Unternehmen setzen zunehmend auf Hacker-Expertise
Mittlerweile greifen immer mehr Unternehmen auf die Erfahrungen und Kenntnisse von Ethical Hackern zurück. Dem Bericht zufolge wurde vor allem der Internet- und Online- Service-Bereich (59 Prozent) sowie der Finanzdienstsektor (47 Prozent) von Hackern unterstützt. Dicht gefolgt von Softwareunternehmen (43 Prozent). 41 Prozent der White Hat Hacker widmen sich Einzelhandels- und E-Commerce-Programmen.
"Selbst die konservativsten Unternehmen erkennen zunehmend die Wichtigkeit einer externen Beurteilung", erklärt Chris Evans, CISO und Chief Hacking Officer von Hackerone. "So haben wir beispielsweise nach wie vor in der Finanzdienstleistungsbranche ein starkes Wachstum zu verzeichnen. Da die Analyse und Quantifizierung von Risiken deren Geschäft sind, erkennen sie, dass sowohl das Risiko sinkt, als auch, dass sich die Geschäftsergebnisse verbessern, wenn sie sich auf eine Zusammenarbeit mit Hackern einlassen. Darüber hinaus beobachten wir in allen Bereichen, dass Kunden die Daten aus Schwachstellenberichten nutzen, um ihre Softwareentwicklungszyklen zu optimieren."
Außerdem zeigen die Ergebnisse, dass Unternehmen Schwachstellen schneller als je zuvor beheben, da das Schwachstellenmanagement zunehmend im Vordergrund steht. Im vergangenen Jahr sank die durchschnittliche Zeit bis zur Behebung eines Fehlers branchenweit um 19 Prozent von 33 Tagen auf 26,7 Tage, wobei in einigen Branchen wie Einzelhandel und E-Commerce die Zeit bis zur Behebung um mehr als 50 Prozent abnahm. "Dies gelingt durch einen verstärkten Fokus auf verbesserte Schulungen der Entwickler, Source-Code-Integration und Development Frameworks", so Evans.