Studie zeigt: Veraltete Appliances stellen große Sicherheitslücken dar

Laut einer Studie von Orca Security weisen aktuelle, virtuelle Appliances oft viele Sicherheitslücken auf. Grund dafür sind vor allem veraltete Betriebssysteme.

Auch in der Pandemie steigt die Cloud-Nutzung und die Managed Cloud Services weiter an. Daher bleibt oft die Sicherheit auf der Strecke. Laut der aktuellen Studie von Orca Security entsteht dadurch ein großer Nachholbedarf bei der Aktualisierung virtueller Appliances.

Laut dem „Orca Security 2020 State of Virtual Appliance Security Report”, der über 2.200 virtuelle Appliance-Images von rund 500 Softwareherstellern analysierte, haben viele virtuelle Appliances leicht ausnutzbare Schwachstellen, die eigentlich einfach zu beheben sein. Grund dafür sind die nicht gewarteten Betriebssysteme, die das Supportende der Hersteller überschritten haben.

Virtual Appliances oft nicht ohne schwerwiegende Schwachstellen

Virtual Appliances bieten eine kostengünstige Möglichkeit für Softwareanbieter, die Produkte für Kunden in Public- oder Private-Cloud bereitzustellen. Die Studie stellte bei den Lösungen allerdings schwerwiegende Probleme. Weniger als ein Zehntel (8 Prozent) der virtuellen Appliances waren frei von simplen Schwachstellen. 15 Prozent aller 2.218 Lösungen erhielten ein F-Rating durch die Studie. Mehr als die Hälfte der getesteten virtuellen Appliances lagen unter einer Durchschnittsnote.

Als Basis diente dem Security-Unternehmen die Erhebung von 17 kritischen Schwachstellen, die auf die Virtual Appliances schwerwiegende Auswirkungen haben könnten, wenn sie nicht behoben werden.

Laut Studienergebnissen waren mehrere virtuelle Appliances betriebssystemseitig veraltet oder hatten keine aktuellen Updates installiert. Der Grund: Die Mehrzahl der Anbieter nehmen ihre veralteten Appliances nicht vom Markt oder aktualisieren sie nicht.

Aufgrund der offengelegten Schwachstellen kontaktieren die Orca-Sicherheitsforscher die Anbieter direkt. Diese Maßnahme wurde mit Erfolg belohnt: Rund 36.000 der über 400.000 Schwachstellen wurden von den Anbietern behohen – Tendenz steigend.

Mehr über die spannenden Ergebnisse der Studie finden Sie hier.

Key Facts

Cloud-Sicherheitsvorfälle: 45 Prozent der Datenpannen betreffen Cloud-Umgebungen.

Fehlkonfigurationen: 80 Prozent der Cloud-Sicherheitsvorfälle gehen auf Fehlkonfigurationen zurück.

Häufige Fragen

Ist die Cloud sicherer als On-Premise?

Nicht automatisch. Cloud-Provider bieten in der Regel bessere physische Sicherheit und Patch-Management, aber die Verantwortung für Konfiguration, Zugriffsmanagement und Datenschutz liegt beim Kunden (Shared Responsibility Model).

Was ist das Shared Responsibility Model?

Cloud-Provider sichern die Infrastruktur (Hardware, Netzwerk, Rechenzentrum), Kunden sichern ihre Daten, Zugriffe und Konfigurationen. Die genaue Aufteilung variiert je nach Service-Modell (IaaS, PaaS, SaaS).

Welche Cloud-Zertifizierungen sollte man beachten?

ISO 27001, SOC 2 Typ II und C5 (BSI) sind die wichtigsten. Für EU-Datenschutz ist zusätzlich relevant, ob der Anbieter Daten innerhalb der EU verarbeitet und dem EU-US Data Privacy Framework unterliegt.

Das Wichtigste in Kürze

Laut dem „Orca Security 2020 State of Virtual Appliance Security Report”, der über 2.200 virtuelle Appliance-Images von rund 500 Softwareherstellern analysierte, haben viele virtuelle Appliances le…
Als Basis diente dem Security-Unternehmen die Erhebung von 17 kritischen Schwachstellen, die auf die Virtual Appliances schwerwiegende Auswirkungen haben könnten, wenn sie nicht behoben werden.
Weniger als ein Zehntel (8 Prozent) der virtuellen Appliances waren frei von simplen Schwachstellen.
15 Prozent aller 2.218 Lösungen erhielten ein F-Rating durch die Studie.

Imprimer l'article