Share
Beitragsbild zu Web & Mobile App (Un-)Sicherheit bei den 100 erfolgreichsten Fintech-Startups

Web & Mobile App (Un-)Sicherheit bei den 100 erfolgreichsten Fintech-Startups

Das Web-Sicherheitsunternehmen ImmuniWeb hat den Stand der Web & Mobile Apps bei den bekanntesten und finanziell am besten ausgestatteten Fintech-Startups untersucht, die von CB Insights identifiziert wurden. Immuniweb hat herausgefunden, dass 98 der Top-100-Unternehmen anfällig für Phishing und Web- & Mobile Apps Angriffe sind.

Wichtigste Erkenntnisse: Sicherheit

ImmuniWeb führte verschiedene nicht-intrusive Sicherheits-, Datenschutz- und Compliance-Prüfungen durch, um potenzielle Sicherheitslücken auf den wichtigsten Webseiten und Subdomains der 100 Fintech-Startups zu identifizieren:

  • 100% haben Sicherheits-, Datenschutz- und Compliance-Fehler im Zusammenhang mit aufgegebenen oder vergessenen Web Apps, APIs und Subdomaine.
  • 8 Hauptwebseiten und 64 Subdomains weisen mindestens eine öffentlich gemeldete und ausnutzbare Sicherheitslücke mit mittlerem oder hohem Risiko auf.
  • Die am häufigsten auftretenden Sicherheitslücken auf Webseiten waren XSS (Cross Site Scripting, OWASP A7), Sensitive Data Exposure (OWASP A3) und Security Misconfiguration (OWASP A6).
  • Die älteste nicht gepatchte Sicherheitslücke ist CVE-2012-6708, die sich auf jQuery 1.7.2 auswirkt.
  • 100% der mobilen Apps enthalten mindestens 1 Sicherheitslücke mit mittlerem Risiko, 97% haben mindestens 2 Sicherheitslücken mit mittlerem oder hohem Risiko.
  • 56% der Backends für mobile Apps (REST / SOAP-APIs) weisen schwerwiegende Fehlkonfigurationen oder Datenschutzprobleme im Zusammenhang mit der SSL / TLS-Konfiguration und einer unzureichenden Absicherung der Webserversicherheit auf.

Wichtigste Erkenntnisse: Konformität

  • 62% der Hauptwebseiten der Unternehmen haben den PCI-DSS-Konformitätstest nicht bestanden. Die Hauptursache war veraltete Open-Source- und kommerzielle Software und deren Komponenten (Anforderung 6.2).
  • 64% der Hauptwebseiten der Unternehmen haben die GDPR-Bestimmungen ebenfalls nicht eingehalten. Nach anfälliger Web-Software ist der zweithäufigste Grund ein fehlender Cookie-Haftungsausschluss oder nicht gesetzte Sicherheitsflags in Cookies, die Tracking-, PII- oder andere vertrauliche Informationen übertragen. Die dritte Hauptursache ist fehlende oder unzugängliche Datenschutzrichtlinien.

 
Ilia Kolochenko, CEO und Gründer von ImmuniWeb, kommentierte:„Die Studie betont die zunehmenden Herausforderungen im Bereich Cybersicherheit, denen sich sowohl dynamische Fintech-Unternehmen als auch etablierte Finanzinstitute gegenübersehen. Auf den ersten Blick sieht es in der Fintech-Branche vergleichsweise besser aus. Wenn wir jedoch die Anzahl und Komplexität der verwalteten IT-Systeme pro Organisation in Beziehung setzen, kann die Schlussfolgerung zugunsten der Banken eindeutig abweichen. Trotzdem unterstreichen die Zahlen aus der Studie ein anständiges Maß an Cybersicherheit inmitten der Fintech-Unternehmen, was Engagement und Sorgfalt belegt.“
 
„Die Untersuchung zeigt ebenfalls, dass mangelnde Sichtbarkeit eines der am weitesten verbreiteten, nachteiligsten und manchmal fast unüberwindbaren Hindernisse für eine kohärente und ganzheitliche Informationssicherheit ist. Angesichts der zunehmenden Verbreitung von Cloud- und Containertechnologien, des Outsourcings geschäftskritischer Prozesse und des Datenaustauschs mit zahlreichen Drittanbietern wird die unvollständige Transparenz wahrscheinlich die Achillesferse der Informationssicherheit bleiben. “
 
 
Vollständige Recherche und Infografiken unter: https://www.immuniweb.com/blog/fintech-application-security.html

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Erste Schritte zur Einhaltung des PCI DSS”

Erste Schritte zur Einhaltung des PCI DSS

Featured image for “Kubernetes auf dem Vormarsch”

Kubernetes auf dem Vormarsch

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Featured image for “Wie man RMM-Software mit einer Firewall absichert”

Wie man RMM-Software mit einer Firewall absichert

Studien

Featured image for “Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle”

Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle

Featured image for “Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %”

Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Featured image for “Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle”

Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle

Featured image for “Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart”

Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart

Whitepaper

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Featured image for “Sechs Vordenker in Sachen Cybersicherheit”

Sechs Vordenker in Sachen Cybersicherheit

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI