Trotz aller Investitionen in Datensicherheit und Datenschutz sind viele mittlere und große Netzwerke nach Ansicht ihrer Betreiber nicht ausreichend vor Eindringlingen geschützt. Laut Radwares 2018 State of Web Application Security Report, den das Unternehmen jetzt veröffentlicht hat, glauben zwei Drittel aller Befragten, dass Hacker in ihr Netzwerk eindringen könnten. Deutlich über die Hälfte (59%) gaben an, dass ihre Webanwendungen wöchentlich oder täglich attackiert würden. Und obwohl sie sich der Angriffe bewusst sind, erfahren viele Unternehmen von erfolgreichen Datendiebstählen erst dann, wenn gestohlene Daten veröffentlicht werden. Für seinen zweiten jährlichen Bericht zur Sicherheit von Webanwendungen hatte Radware global aktive Unternehmen mit mindestens 250 Millionen Dollar bzw. Euro Jahresumsatz befragt.
Der Bericht gibt einen detaillierten Überblick über die Herausforderungen, vor denen Unternehmen beim Schutz von Webanwendungen stehen. Dabei zeigt die Studie insbesondere eine zunehmende Häufigkeit und Komplexität von Angriffen auf Anwendungsebene. Etwa 89% der Befragten haben in den letzten 12 Monaten mindestens einen Angriff auf Webanwendungen oder Webserver erlebt; die meisten deutlich mehr. Dabei stieg der Anteil verschlüsselter Web-Angriffe von 12% im Jahr 2017 auf 50% im Jahr 2018.
„Während Unternehmen erkennen, dass sie angegriffen werden, entdecken sie den Verstoß oft erst, nachdem relevante Informationen weitergegeben wurden“, sagte Carl Herberger, Vice President of Security Solutions bei Radware. „In der sich ständig verändernden Bedrohungslandschaft von heute müssen Unternehmen immer noch wachsam sein, um sich für die zunehmende Häufigkeit und Komplexität von Angriffen zu rüsten.“
Weitere wichtige Umfrageergebnisse:
– Die große Menge gespeicherter Daten sowie der Datenaustausch mit anderen Unternehmen stellt für viele Netzwerkbetreiber ein Risiko dar. Zwar gab etwa die Hälfte der Befragten an, dass sie Kundendaten nur für den internen Gebrauch sammeln und nicht weitergeben, doch 43% tauschen gezielt Daten über Nutzerverhalten und Präferenzen sowie Analytikdaten aus.
– Angriffe mit dem Ziel des Datendiebstahls werden immer häufiger und komplexer. Fast die Hälfte (46%) der Unternehmen hat in den letzten 12 Monaten solche Angriffe erlebt, und die Befragten halten diese Art von Angriffen auf die Anwendungsschicht für die am schwierigsten zu erkennende und zu bekämpfende.
– Bei Datendiebstahl steht viel auf dem Spiel: Als Ergebnis eines solchen Vorfalls gaben 52% der Befragten an, dass Kunden eine Entschädigung gefordert haben, 46% berichteten von einem großen Reputationsverlust, 35% von Kundenverlusten, 34% von einem Rückgang des Aktienkurses, 31% von Kunden, die rechtliche Schritte unternommen haben, und 23% von entlassenen Führungskräften.
– Die Nutzung von APIs macht Anwendungen verwundbarer. Zwar nutzen 82% der Unternehmen API-Gateways für den Datenaustausch, doch deuten die Daten auf unzureichende Sicherheitsmaßnahmen rund um APIs hin. Tatsächlich verlangen 70% der Befragten keine Authentifizierung von Third Party APIs, 62% verzichten auf die Verschlüsselung der über APIs gesendeten Daten und 33% ermöglicht es Dritten, über APIs Aktionen auszuführen, was die Tür für zusätzliche Bedrohungen öffnet.
– Häufige Updates von Webanwendungen bringen neue Sicherheitsrisiken mit sich. Unternehmen aktualisieren Anwendungen viel häufiger als in den Vorjahren. Bei der letztjährigen Radware-Umfrage hatten noch 40% der Befragten angegeben, dass ihr Unternehmen die Anwendungen mindestens einmal pro Woche aktualisiert. Die diesjährigen Ergebnisse zeigen, dass bereits etwa ein Drittel aller Anwendungstypen stündlich oder täglich aktualisiert wird, während ein weiteres Viertel wöchentliche Updates erfährt.
Methodik
Im Auftrag von Radware befragte Merrill Research 302 Führungskräfte und IT-Experten aus der ganzen Welt. Um an der Studie von Radware zum Stand der Anwendungssicherheit 2018 teilzunehmen, mussten die Befragten für ein global aktives Unternehmen mit einem Umsatz von mindestens 250 Millionen Euro bzw. US-Dollar arbeiten.
Der vollständige Bericht steht zum Download bereit unter https://www.radware.com/2018-was-report (in englischer Sprache)