Rapid7-Forschungsbericht

2021 Industry Cyber-Exposure Report: Deutsche Börse Prime Standard 314

Dieser Forschungsbericht bewertet die Internet-Exponierung der wichtigsten Unternehmen Deutschlands.

Zusammenfassung

Da sich die Wissensarbeiter der Welt während der Pandemie in ihre Homeoffices zurückzogen und Fälle von Ransomware im gesamten Internet kursierten, ist ein Blick auf die Internetpräsenz der bedeutendsten Unternehmen der Welt überfällig. In dieser Runde der Internet Cyber-Exposure Reports (ICERs) bewerten Forscher von Rapid7 fünf Bereiche der Cybersicherheit, die zum einen für die laufenden Geschäftsaktivitäten im und über das Internet gesichert werden müssen, und auch in die Zuständigkeit von CISOs, deren IT-Sicherheitsmitarbeiter und den internen Geschäftspartnern fallen.

Zu den fünf Aspekten der Cyber-Exponierung im Internet und der Risiken zählen:

  1. Authentifizierter E-Mail-Ursprung und -Verarbeitung (DMARC)
  2. Verschlüsselungsstandards für öffentliche Webanwendungen (HTTPS und HSTS)
  3. Versionsverwaltung für Webserver und E-Mail-Server (Schwerpunkt auf IIS, Nginx, Apache und Exchange
  4. Für das Internet nicht geeignete, riskante Protokolle (RDP, SMB, und Telnet)
  5. Verbreitung von Vulnerability Disclosure Programs (VDPs)

In diesem Bericht untersuchen wir die ins Internet gerichtete Cyber-Exposition von Spitzenunternehmen, die im Prime Standard der Deutschen Börse aufgeführt sind (im Folgenden als DB 314 bezeichnet). Jeder Abschnitt enthält reale, praktische Ratschläge, die Akteure noch heute umsetzen können. Beachten Sie, dass diese Ratschläge nicht nur für CISOs gedacht sind, die Stellen in Deutsche Börse Prime Standard-Unternehmen innehaben, sondern auch für Sicherheitsexperten, die Geschäfts- und aufsichtstechnische Beziehungen mit einigen dieser renommierten Unternehmen unterhalten.

Im ersten Halbjahr 2021 wird Rapid7 Berichte veröffentlichen, die diese 5 wichtigen Grundlagenbereiche der Cybersicherheit in den 5 der fortschrittlichsten Volkswirtschaften der Welt messen: 

  1. In den USA die Fortune 5002
  2. Großbritanniens FTSE 3503
  3. Australiens ASX 2004
  4. Deutschlands Deutsche Börse Prime Standard 314 (this report)
  5. Japans Nikkei 225

Die wesentlichen Erkenntnisse

Der Bericht ist in fünf detaillierte Abschnitte unterteilt, die die oben genannten Bereiche behandeln, und die wesentlichen Erkenntnisse dieser Studie sind wie folgt:

  • Die Email-Sicherheitslage von DB 314 liegt hinter der der USA und von Großbritannien. Anfang 2021 kann die E-Mail-Sicherheit in der DB 314 nicht mit der vergleichbarer Unternehmen in den USA und Großbritannien mithalten. Während die Domain-based Message Authentication, Reporting & Conformance (DMARC) in den USA und in Großbritannien von rund 50 % der Unternehmen eingesetzt wird, haben nur etwa 39 % der befragten, in Deutschland tätigen Unternehmen DMARC-Einträge konfiguriert, und von diesen erhielten etwa zwei Drittel eine p=none (oder Passthrough) Richtlinie. Mit anderen Worten, nur etwa 13 % der in DB 314 aufgelisteten Unternehmen ergreifen aktive Maßnahmen, um ihre Marken, Mitarbeiter und Kunden mit DMARC p=quarantine oder p=reject Richtlinien zu schützen.

  • Exponierte, gefährliche Dienste spielen eine geringere Rolle in Deutschland. Während gefährliche Protokoll-Exponierungen durch Windows Remote Desktop (RDP) Dateifreigabe (SMB) und Telnet weiterhin ein Problem für die befragten Unternehmen darstellen, scheint es ein nicht annähernd so großes Problem zu sein wie bei den befragten US-Unternehmen der Fortune 500: Fast 90 % der DB 314 Unternehmen meldeten keine Exponierung über RDP, SMB oder Telnet. Was darüber hinaus die sichere HTTP-Bereitstellung (HTTPS) betrifft, stellten wir fest, dass HTTPS bei 99,6 % der DB 314 Unternehmen der Standard ist (wir haben Kontakt mit dem letzten Unternehmen aufgenommen, das an HTTP festhält).

  • Nicht einheitliche Versionen stellen ein Problem dar. Von den befragten Unternehmen, die noch ihre eigenen Microsoft Exchange-Server für das Messaging betreiben, laufen nur rund 20 % in der aktuellsten unterstützten Version, und weitere 20 % laufen in Versionen aus dem Jahr 2010, deren Support jetzt endet. Zudem fanden wir ganze 13 verschiedene Versionen von Microsoft IIS für Webdienste sowie erstaunliche 89 verschiedene Versionen von Nginx, dem beliebtesten Webserver der Welt. Diese Anzahl unterschiedlicher Versionen ist höher als aus allen anderen regionalen Unternehmensgruppen, die wir bisher untersucht haben.

  • Der deutsche Automobilsektor sticht besonders hervor, was die Aufdeckung von Schwachstellen betrifft. Während die VDP-Akzeptanz in der DB 314 weiterhin schleppend verläuft, da nur 34 Unternehmen irgendeinen Mechanismus zur Meldung von Schwachstellen in ihren Produkten oder der Infrastruktur aufweisen, ist die Automobilindustrie überdurchschnittlich beim Einsatz von VDP vertreten: 6 von 18 Automobilbetrieben verwenden ein VDP.

Vor dem Hintergrund dieser Erkenntnisse befasst sich der Rest des Berichts mit den fünf einzelnen, in der DB 314 bewerteten Cybersicherheitsbereichen.

Bevor Sie sich mit den Einzelheiten befassen, möchten wir darauf hinweisen, dass in Unternehmen, die von diesen Ereignissen betroffen waren oder es noch sind, häufig das Gefühl entsteht, dass ihre gesamte Zeit und Energie in die Bearbeitung von Notfällen geht, statt sich mit den ihnen zugrundeliegenden chronischen Problemen befassen zu können, die in diesem Bericht angesprochen werden. Unser Ziel ist es, Organisationen zu helfen, sicher und widerstandsfähig zu sein (und zu bleiben). Dazu haben wir einen spezifischen Anhang geschaffen, den Sie sich ggf. zuerst anschauen möchten, bevor Sie sich den einzelnen Abschnitten widmen.

Bericht herunterladen

Laden Sie den vollständigen Bericht herunter und erfahren Sie, wie Rapid7 die Internet-Exponierung der wichtigsten Unternehmen Deutschlands bewertet.

Jetzt lesen