Risikoanalyse

Knapp 800.000 Systeme für BlueKeep-Sicherheitslücke anfällig


Patrick Steinmetz [BitSight]
Risikoanalyse: Knapp 800.000 Systeme für BlueKeep-Sicherheitslücke anfällig News

Vor ungefähr fünf Wochen wurde die BlueKeep Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte.

Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.

BitSight, Anbieter von IT-Sicherheitsratings, hat Ende Mai bereits eine erste Dateneinsicht veröffentlicht. BitSight hat nun erneut untersucht, inwiefern der Patch für BlueKeep in der Zwischenzeit in verschiedenen Branchen und Ländern ausgerollt wurde.
Im Vergleich zum Stand vom 31. Mai ist die Zahl der für BlueKeep anfälligen Systeme bis zum 2. Juli um 17,18 Prozent gesunken. Das entspricht 167.164 gepatchten Systemen. Weltweit waren am 2. Juli noch 805.665 Systeme online, die für die Sicherheitslücke anfällig sind.

Abb. 01: System Vulnerable to BlueKeep [Quelle: BitSight]Abb. 01: System Vulnerable to BlueKeep [Quelle: BitSight]

Anfälligkeit für Bluekeep nach Branchen Ende Mai und Anfang Juli

Die in der Grafik unten aufgeführten Branchen waren bereits bei der Datenanalyse durch BitSight Ende Mai unterschiedlich anfällig für BlueKeep (blau). Mittlerweile haben Organisationen aus allen Branchen mit Patches auf die Sicherheitslücke reagiert. Besonders häufig haben Unternehmen aus der Rechtsbranche (32,0 Prozent weniger betroffene Systeme), Nonprofit/NGOs (27,1 Prozent weniger) und Luft- und Raumfahrt/Verteidigung (24,1 Prozent weniger) reagiert (rot). Unternehmen anderer Branchen haben seltener gepatcht: In der Konsumgüterbranche hat BitSight 5,3 Prozent weniger, bei Versorgern 9,5 Prozent weniger und in der Technologiebranche 11,7 Prozent weniger betroffene Systeme gezählt.

Abb. 02: BlueKeep Industry Sector Exposure [Quelle: BitSight]Abb. 02: BlueKeep Industry Sector Exposure [Quelle: BitSight]

Stark gefährdet sind demnach weiterhin die Telekommunikationsbranche und der Bildungssektor, gefolgt von der Technologiebranche, Versorgern sowie Regierung/Politik. Die hohe Gefährdungsrate von Organisationen aus Telekommunikation und Bildung liegt teilweise daran, dass sie oft Transit Services anbieten und sich viele der Sicherheitslücken auf den Systemen ihrer Kunden befinden.

Einfluss von Patchen auf das IT-Sicherheitsrating

Die Grafik unten zeigt den Median der IT-Sicherheitsratings der Organisationen, die den Patch eingespielt haben (rot) im Vergleich zum Median der Organisationen, die noch nicht gepatcht haben. In fast allen Branchen schneidet die Gruppe der Organisationen, die bereits gepatcht haben, besser ab als die Gruppe der Organisationen, die noch verwundbare Systeme haben.

Organisationen, die dafür sorgen, dass ihre Systeme gepatcht sind, erhöhen augenblicklich die Cybersicherheit ihrer IT. Das führt auch zu Verbesserungen ihres IT-Sicherheitsratings. Organisationen, die zeitnah gepatcht haben, erhalten überwiegend eine höhere und somit bessere Einstufung beim IT-Sicherheitsrating, als Unternehmen, deren Systeme noch anfällig sind.

Abb. 03: Median Security Rating of Vulnerable and Remediated Companies by Industry [Quelle: BitSight]Abb. 03: Median Security Rating of Vulnerable and Remediated Companies by Industry [Quelle: BitSight]

Bluekeep Anfälligkeit und Patch-Rate nach Ländern

Die Grafik unten zeigt die Anzahl der anfälligen Systeme nach Ländern geordnet, wobei die X-Achse die Anzahl Ende Mai und die Y-Achse die Anzahl Anfang Juli darstellt. Das Streudiagramm nutzt logarithmische Skalen, daher ist die prozentuale Veränderung für jedes Land in absoluten Werten größer, als das Diagramm sie erscheinen lässt. Die schwarze Linie stellt eine lineare Standardregression dar und ein Punkt auf der Linie würde keine Änderung im beobachteten Zeitraum bedeuten.

Abb. 04: Number of Vulnerable Systems by Country [Quelle: BitSight]Abb. 04: Number of Vulnerable Systems by Country [Quelle: BitSight]

Im Idealfall würde sich der Punkt für jedes Land unterhalb der schwarzen Linie befinden, da dies eine Reduzierung anfälliger Systeme in diesen Ländern bedeutet. Es gibt jedoch Länder, bei denen BitSight kaum Änderungen beobachtet hat sowie Länder, in denen die Anzahl der exponierten Systeme gestiegen ist.

Konkret ist in einigen Ländern ein deutlicher Rückgang angreifbarer Systeme sichtbar. China weist mit einem Rückgang von 23,9 Prozent und 109.670 gepatchten Systemen die höchste Verbesserung in absoluten Zahlen auf. In den USA sank die Anzahl der gefährdeten Systeme auf 26.787, was einem Rückgang von 20,3 Prozent entspricht. Kolumbien (21,3 Prozent Rückgang), Lettland (20,7 Prozent Rückgang) und Guatemala (45,4 Prozent Rückgang) weisen ebenfalls eine hohe Patch-Rate auf. Auch nach den jüngsten Fortschritten haben China und die USA weiterhin die meisten exponierten Systeme.

BitSight beobachtete allerdings auch in einigen Ländern eine Ausbreitung von Bluekeep. Vor allem in Südkorea wurden zusätzliche 3.430 gefährdete Systeme gezählt, was einem Anstieg um 14,5 Prozent entspricht. In Estland wurden 146 mehr angreifbare Systeme gezählt, der Anstieg beträgt hier 32,2 Prozent.

BitSight ist Anbieter von IT-Sicherheitsratings und betreibt über seine Tochterfirma AnubisNetworks das weltweit größte Sinkhole. Im Zusammenhang mit seinem Geschäftsmodell sammelt und analysiert BitSight seit dem 31. Mai Informationen über die Exposition und den Sicherheitsstatus der Systeme, die sich in Unternehmensnetzwerken befinden und für Bluekeep anfällig sind.

IT-Sicherheitsratings von BitSight verfolgen folgenden Ansatz: automatisches Sammeln und Auswerten großer Datenmengen im Hinblick auf IT-Sicherheit. Die datenbasierte, kontinuierliche Messung der IT-Sicherheit und automatisierte Auswertung durch leistungsfähige Algorithmen ermöglicht einen tagesaktuellen Überblick von außen über die Cybersicherheitsleistungen Organisationen – eine stets aktuelle Bewertung der Cybersicherheitsleistung von hunderttausenden Organisationen. Dabei steht vom generellen Überblick über beispielsweise die unternehmensweite Cybersicherheitsleistung bis hin zu kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer immer genau die Information bereit, die benötigt wird.

[ Source of images: Adobe Stock | Grafiken im Text: BitSight ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden