Wie jedes Jahr beglücken uns das BSI und ähnliche Organisationen mit ihren Lageberichten und Erkenntnissen. Welche Defekte in diesem Jahr besonders häufig in Software festgestellt wurden, kann man der Top 25 CWE (Common Weakness Enumeration) von MITRE entnehmen.
Ein beunruhigender Trend ist die ungewöhnlich häufige Nutzung von 0-day-Schwachstellen durch Ransomware-Gruppen. So kommt nun zu der mittlerweile hoffentlich bekannten Empfehlung, Patches zeitnah einzuspielen, die Frage hinzu, wie man mit 0-days umgeht. Eine Lösung: Security by Design. Auch wenn es sich dabei meist um sicheres Architekturdesign im Software Engineering handelt, kann und sollte dieses Prinzip beim Thema Netzwerkarchitektur ebenfalls bedacht werden. Im Rahmen einer Risikoanalyse werden für jede Komponente die Gefahr einer Kompromittierung und weiteren Bewegung möglicher Angreifer erörtert und entsprechende Maßnahmen getroffen. Oftmals hört man in diesem Kontext Begriffe wie „Zero Trust“ und „Defense-in-Depth“. Die so erreichte Resilienz schützt auch gegen bisher unbekannte Lücken in vielfältig ausgenutzten Komponenten wie z. B. VPN-Zugängen.
Gerade in Deutschland konnten wir auch erleben, welche Auswirkungen diese Angriffe auf die Supply-Chain und Dienstleister haben. Der Vorfall bei der Südwestfalen-IT ist zwar nicht der erste seiner Art, mit circa 1,7 Millionen Betroffenen aber einer der Größeren. Mit der zunehmenden Digitalisierung wächst auch die Abhängigkeit und damit die mögliche Auswirkung solcher Angriffe. Nicht umsonst möchte der Gesetzgeber mit NIS-2 gegensteuern.
Es bleibt abzuwarten, ob sich diese Trends im Jahr 2025 fortsetzen werden, oder ob uns etwas ganz Neues überraschen wird. Klar ist, dass IT-Sicherheit auch im nächsten Jahr ein wichtiges Thema bleibt.
https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5