Diese Sicherheitslücken konnten Pentester in vielen Unternehmen feststellen
Rapid7 veröffentlicht seinen neuen Sicherheitsreport. Erfahren Sie hier, welche Sicherheitslücken Pentester in den vergangenen 12 Monaten am häufigsten bei ihren Kunden beobachtet haben. Von Software-Schwachstellen über Fehlkonfigurationen im Unternehmensnetzwerk bis hin zu unsicheren Passwörtern.
Im Jahr 2017 startete Rapid7 das Projekt „Under the Hoodie“. Dieses Jahr haben sie ihren Ansatz erneuert, um auch in Zukunft für Transparenz zu sorgen. Der Bericht von Rapid7 basiert auf 268 Pentesting-Einsätzen im Zeitraum September 2017 bis Juni 2018 bei Unternehmen aller Größen und aus allen Branchen. Penetrationstests sind wichtiger Teil eines umfassenden Sicherheitsprogramms. Ziel ist das Erkennen von Sicherheitslücken einer Organisation und ein Verständnis dazu, wie Angreifer diese ausnutzen können.
Deutlich über die Hälfte (59 Prozent) aller im Erhebungszeitraum durchgeführten Penetrationstests wurden extern durchgeführt. Die drei großen Kategorien von Kompromiss-Rapid7-Penetrationstestern sind Software-Schwachstellen, Netzwerk-Fehlkonfigurationen und Netzwerk-Anmeldeinformationen.
Insgesamt konnten die Pentester von Rapid7 bei 84 Prozent ihrer Einsätze im Auftrag der Kunden mindestens eine produktive Schwachstelle ausnutzen. Diese Zahl steigt bei rein intern durchgeführten Penetrationstests sogar auf 96 Prozent- das bedeutet, nur 4 Prozent der so untersuchten Unternehmen wiesen keine Software-Sicherheitslücke auf.
Want to know what’s most commonly found during a #pentest? Tomorrow we’ll tell you in our annual #underthehoodie research report. #security #penetrationtest pic.twitter.com/KqlA5z8NTM
Das Wichtigste in Kürze
- Der Bericht von Rapid7 basiert auf 268 Pentesting-Einsätzen im Zeitraum September 2017 bis Juni 2018 bei Unternehmen aller Größen und aus allen Branchen.
- Deutlich über die Hälfte (59 Prozent) aller im Erhebungszeitraum durchgeführten Penetrationstests wurden extern durchgeführt.
- Insgesamt konnten die Pentester von Rapid7 bei 84 Prozent ihrer Einsätze im Auftrag der Kunden mindestens eine produktive Schwachstelle ausnutzen.
- Diese Zahl steigt bei rein intern durchgeführten Penetrationstests sogar auf 96 Prozent- das bedeutet, nur 4 Prozent der so untersuchten Unternehmen wiesen keine Software-Sicherheitslücke auf.
— Rapid7 (@rapid7) July 24, 2018
In ähnlicher Weise waren Pentester in 80 Prozent der Fälle in der Lage, mindestens eine Netzwerkfehlkonfiguration zu missbrauchen. Bei internen Tests konnten sie bei fast jedem ihrer Einsätze eine Fehlkonfiguration finden.
Darüber hinaus gelang es den Auftragshackern, bei runde der Hälfte (53 Prozent) ihrer Untersuchungen mindestens einen Satz von Anmeldedaten zu stehlen. Konnten sie eine LAN- oder WLAN-Verbindung ausnutzen, dann schafften sie es sogar in 86 Prozent der Einsätze, Login-Daten von Unternehmensnutzern zu erfassen.
Über ein Viertel (28 Prozent) aller Tests endeten im Sicherheits-Super Gau: Hier konnten die Pentester schließlich die vollständige administrative Kontrolle über das Netzwerk der Zielorganisation ergreifen. Bei internen Pentests, wo Schwachstellen, Fehlkonfigurationen und Login-Daten vergleichsweise einfacher zu finden sind, stieg dieser Prozentsatz sogar auf rund zwei Drittel (67 Prozent).
Die Mehrheit der Rapid7-Pentester konnten ihre Angriffe ungestört ausführen. In 61 Prozent der Fälle bemerkte das untersuchte Unternehmen, das den Pentest in Auftrag gegeben hatte, die Eindringlinge nicht. Das Einsetzen von Pentestern ist somit definitiv hilfreich um die eigenen IT-Risiken identifizieren zu können.
Verwandte Artikel
- secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
- DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
- Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung
Mehr aus dem MBF Media Netzwerk
- IT-Strategien für Entscheider auf digital-chiefs.de
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
Quelle Titelbild: pexels/ Juhasz Imre
Fakt: Die Zahl der täglich neu entdeckten Malware-Varianten liegt laut AV-TEST bei über 450.000.
Fakt: Laut BKA entstand deutschen Unternehmen 2024 durch Cyberkriminalität ein Schaden von über 206 Milliarden Euro.
Key Facts
Angriffsdauer: Im Durchschnitt bleiben Angreifer 204 Tage unentdeckt im Unternehmensnetzwerk.
Mittelstand im Visier: 43 Prozent aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen.
Häufige Fragen
Was sind die häufigsten Cyberbedrohungen für Unternehmen?
Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.
Wie viel sollte ein Unternehmen in Cybersicherheit investieren?
Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.
Braucht jedes Unternehmen einen CISO?
Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.
