Die digitale Transformation und Cloud-Migration befeuern den Anstieg von Sicherheitslücken, wie eine Studie von HackerOne zeigt.
Autor: Dr. Jakob Jung
HackerOne hat heute den Hacker-Powered Security Report 2022 veröffentlicht. Aus dem Report wird ersichtlich, dass die HackerOne-Community ethischer Hacker im Jahr 2022 über 65.000 Software-Schwachstellen aufdecken konnte, was einem Anstieg von 21 Prozent gegenüber dem Vorjahr entspricht. Berichte zu Schwachstellen, die im Zuge digitaler Transformationsprojekte auftraten, verzeichneten ein deutliches Wachstum.
Dabei nahmen besonders Fehlkonfigurationen (150 % Zuwachs) und unzulässige Autorisierungen (45 % Zuwachs) zu. 38 Prozent der Hacker sehen die größte Herausforderung für Unternehmen im Mangel an internen Fähigkeiten und Fachkenntnissen, um die wachsenden Angriffsflächen zu schützen. Die meisten Hacker sind der Meinung, dass Automatisierung im Security-Umfeld die Kreativität von Menschen nicht ersetzen kann. Für 92 Prozent der Hacker ist klar, dass sie Schwachstellen finden können, die Scanner nicht zu finden imstande sind.
Der Hacker-Powered Security Report 2022 von HackerOne, der bereits zum sechsten Mal erscheint, enthält Erkenntnisse aus der Hacker-Community, Einschätzungen der Motivation und des Fachwissens von Hackern und Trends aus dem weltweit größten Datensatz an Sicherheitslücken. Der Bericht liefert zudem Informationen zu den durchschnittlichen Höhen von Bug-Bounty-Prämien in verschiedenen Branchen, den wichtigsten Schwachstellen, für die Kunden zahlen, und den Methoden, wie Hacker diese Schwachstellen an Unternehmen melden.
Weitere wichtige Erkenntnisse:
- Hacker wollen vor allem lernen, Geld verdienen und zu einem sichereren Internet beitragen. 79 Prozent wollen vor allem lernen – dies übertrifft die Zahl derjenigen, die sagen, dass es ihnen ums Geld geht (72 %). Siebenundvierzig Prozent hacken mehr als im Jahr 2021.
- Hacker suchen zunehmend nach fortschrittlichen Plattformen, um mit Unternehmen zusammenarbeiten zu können. 50 Prozent der Hacker schrecken davor zurück, über Plattformen mit schlechter Kommunikation und langsamen Reaktionszeiten zu kooperieren. Ebenfalls 50 Prozent der Hacker geben an, dass sie eine von ihnen gefundene Schwachstelle nicht gemeldet haben. In 42 Prozent der Fälle ist dies laut Aussage der Hacker auf das Fehlen eines klaren Prozesses zur sicheren Meldung zurückzuführen.
- 2022 wuchs die Zahl der Unternehmen, die in Kooperationen
über die HackerOne-Plattform investierten, um 45 Prozent. Der Anstieg in der Automobilindustrie betrug sogar 400 Prozent, in der Telekommunikationsbranche 156 Prozent und im Bereich Kryptowährungen und Blockchain 143 Prozent. - Im Branchendurchschnitt sind weder die Durchschnitts- noch die Median-Prämien für das Aufspüren einer Schwachstelle in den letzten 12 Monaten dramatisch gestiegen. Bei Kryptowährungs- und Blockchain-Programmen stiegen die durchschnittlichen Auszahlungen allerdings um 315 Prozent, von 6.443 US-Dollar im Jahr 2021 auf 26.728 US-Dollar im Jahr 2022.
„Erkenntnisse aus der Hacker-Community über ihre Erfahrungen und Erwartungen lehren Unternehmen, wie sie ein Programm aufbauen können, das für die besten Hacker attraktiv ist“, erläutert Chris Evans, CISO und Chief Hacking Officer von HackerOne. „Die Schwachstellendaten von HackerOne, die aus unseren 3.000 Kundenprogrammen stammen, liefern Unternehmen zudem Anhaltspunkte, welche Schwachstellen bei Mitbewerbern für gewöhnlich durch Hacker gemeldet werden. Es wird deutlich, dass Kunden im Zuge digitaler Transformationsprojekte häufig mit neuen Schwachstellen konfrontiert sind. Der Bericht zeigt auch, dass Hacker sehr geschickt darin sind, diese Schwachstellen zu identifizieren.“
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de