{"id":6309,"date":"2022-09-22T10:19:02","date_gmt":"2022-09-22T10:19:02","guid":{"rendered":"https:\/\/network-king.net\/wie-ihr-backlog-sie-tausende-kosten-koennte\/"},"modified":"2022-09-22T10:21:41","modified_gmt":"2022-09-22T10:21:41","slug":"wie-ihr-backlog-sie-tausende-kosten-koennte","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/wie-ihr-backlog-sie-tausende-kosten-koennte\/","title":{"rendered":"Wie Ihr Backlog Sie Tausende kosten k\u00f6nnte"},"content":{"rendered":"\n

K\u00f6nnten Sie auf Anhieb sagen, wie viele Schwachstellen Ihre IT-Umgebung im Moment bedrohen? W\u00fcrde es Sie erschrecken zu erfahren, dass mehr als die H\u00e4lfte (66 %) der Sicherheitsverantwortlichen angaben, dass ihr Backlog mehr als 100.000 identifizierte Schwachstellen aufweist? Und dass die durchschnittliche Anzahl der Schwachstellen in den Backlogs insgesamt 1,1 Millionen betr\u00e4gt? Dies geht zumindest aus einer Umfrage<\/a> von Rezilion<\/a> und dem Ponemon<\/a> Institute hervor.<\/p>\n\n\n\n

Und das ist noch lange nicht alles: 54 % der Befragten gaben an, dass sie weniger als 50 % der Schwachstellen in den Backlogs beheben k\u00f6nnen. Bei der Mehrheit (78 %) dauerte die Beseitigung mehr als drei Wochen, w\u00e4hrend sogar 29 % eine Verz\u00f6gerung von mehr als f\u00fcnf Wochen feststellten, um die Probleme zu beheben.<\/p>\n\n\n\n

Als ob diese Angaben nicht schon genug Grund zur Sorge w\u00e4ren, gehen auch noch Tausende von Produktivit\u00e4tsstunden verloren, weil die IT-Manager den riesigen Backlog nicht effektiv beseitigen k\u00f6nnen. \u201eWir glauben, dass diese Zahlen die Herausforderungen verdeutlichen, denen sich Unternehmen bei der Bew\u00e4ltigung des wachsenden R\u00fcckstaus von Sicherheitsl\u00fccken gegen\u00fcbersehen. In den letzten zw\u00f6lf Monaten wurden durchschnittlich 1,1 Millionen Schwachstellen gemeldet. Von diesen wurde weniger als die H\u00e4lfte behoben. Laut den IT-Sicherheitsexperten, die an unserer Studie teilgenommen haben, l\u00e4sst sich die Zeit, die zur Behebung von Schwachstellen ben\u00f6tigt wird, allerdings durch Automatisierungsprozesse erheblich verk\u00fcrzen\u201c, kommentiert Larry Ponemon, Pr\u00e4sident des Ponemon Institute.<\/p>\n\n\n

\n
\"Quelle:
Quelle: Ponemon Institute<\/figcaption><\/figure>\n<\/div>\n\n\n

Zu den Faktoren, die die Behebung von Schwachstellen erschweren, geh\u00f6ren die Unf\u00e4higkeit, Priorit\u00e4ten zu setzen (47 %), der Mangel an wirksamen Werkzeugen (43 %), Ressourcen (38 %) und Informationen \u00fcber Bedrohungen, die solche Schwachstellen ausnutzen (45 %). Mehr als ein Viertel (28 %) gab au\u00dferdem an, dass die Behebung von Schwachstellen ein zeitaufwendiger Prozess ist.<\/p>\n\n\n\n

So ergab die Umfrage, dass 77 % der Befragten mehr als 21 Minuten ben\u00f6tigten, um eine einzige Schwachstelle in der Produktionsumgebung zu erkennen, zu priorisieren und zu beheben. In Entwicklungsumgebungen ben\u00f6tigten etwa 80 % der Unternehmen allein f\u00fcr die Erkennung einer Schwachstelle mehr als 16 Minuten. Aber auch die anderen Prozesse gestalten sich langwierig: Bei 82 % der Befragten dauerte die Behebung mehr als 21 Minuten, die Priorisierung bei 85 % mehr als 16 Minuten.<\/p>\n\n\n\n

\u201eDas stellt eine enorme Zeit- und Geldverschwendung dar, wenn man nur versucht, die riesigen R\u00fcckst\u00e4nde an Schwachstellen in Unternehmen zu reduzieren\u201c, sagt Liran Tancman, CEO von Rezilion, dem Unternehmen, dass die Studie sponserte.<\/p>\n\n\n\n

An der Umfrage l\u00e4sst sich erkennen, dass die Organisationen etwas effektiver bei der Priorisierung der kritischsten Schwachstellen sind als bei deren Behebung. Dabei ist die Bewertung der Schwachstellen nach dem Common Vulnerability Scoring System (CVSS<\/a>) die wichtigste Methode zur Festlegung der Priorit\u00e4ten. Darauf folgen eine eigene Einsch\u00e4tzung und eine Bewertung der gef\u00e4hrdeten kritischen Anlagen (beide mit 23 % der Antworten).<\/p>\n\n\n

\n
\"Hauptmethode
Quelle: Ponemon Institute<\/figcaption><\/figure>\n<\/div>\n\n\n

Insgesamt gaben die meisten Befragten an, dass es sehr schwierig (36 %) oder schwierig (25 %) ist, Schwachstellen in Anwendungen zu beheben. Allerdings gibt es Tools und Strategien, die bei diesem Prozess helfen k\u00f6nnen. So gab die Mehrheit (56 %) an, dass automatisierte Prozesse zur Behebung von Sicherheitsl\u00fccken Vorteile mit sich bringen k\u00f6nnen. Auf die Frage, wie dies geschieht, waren 43 % der Meinung, dass sich die Reaktionszeit erheblich verk\u00fcrzt hat.<\/p>\n\n\n\n

\u201eWir haben jetzt die wichtigen Daten, um genau zu verfolgen, wie viel Zeit die Schwachstellen den Teams letztendlich im gesamten Softwareentwicklungszyklus stehlen. Zudem wissen wir, dass dieser Prozess nicht effektiv funktioniert. R\u00fcckst\u00e4nde k\u00f6nnen nicht l\u00e4nger so gehandhabt werden. Denn sie erweitern das Angriffsfenster f\u00fcr b\u00f6swillige Akteure, die h\u00e4ufig ungepatchte Schwachstellen ausnutzen. Daher brauchen Sicherheitsteams und Entwickler Priorisierungs- und Automatisierungstools, um ihre Bem\u00fchungen effektiver zu gestalten“, sagt Tankman.<\/p>\n\n\n\n

Empfehlungen zur Entlastung des Drucks<\/h2>\n\n\n\n

Der enorme R\u00fcckstand bei den gemeldeten Schwachstellen l\u00e4sst erahnen, unter welchem Druck Unternehmen stehen, diese rechtzeitig zu beheben. Gartner<\/a> empfiehlt, sich darauf vorzubereiten, innerhalb von Stunden nach der Bekanntgabe von Schwachstellen oder der Ver\u00f6ffentlichung von Patches Notfallkorrekturen vorzunehmen. Hierf\u00fcr sollten Unternehmen auch in Abhilfema\u00dfnahmen investieren. Dar\u00fcber hinaus ist es wichtig, Prozesse zur Behebung von Schwachstellen weiter zu verbessern \u2013 auch, wenn diese keine Notf\u00e4lle darstellen.<\/p>\n\n\n\n

Es existieren vier grundlegende Handlungsempfehlungen, um die Korrekturprozesse effektiver zu gestalten:<\/p>\n\n\n\n

1. Schwachstellenmanagement an der Risikobereitschaft ausrichten \u2013 Jede Organisation hat ihre eigenen Methoden und ihre eigene Geschwindigkeit, mit der sie handeln kann. Dies h\u00e4ngt zum Teil mit der Risikobereitschaft des Unternehmens sowie mit den IT-Ressourcen und der Kapazit\u00e4t zur Bew\u00e4ltigung von Ausfallzeiten zusammen.<\/p>\n\n\n\n

2. Risikobasierte Priorisierung von Schwachstellen \u2013 Die Priorisierung muss facettenreich und risikobasiert erfolgen. Dabei sind Elemente wie die Schwere des Ausfalls, die Aktivit\u00e4t b\u00f6sartiger Agenten, die Kritikalit\u00e4t des Gesch\u00e4fts und die Gef\u00e4hrdung durch Bedrohungen zu ber\u00fccksichtigen.<\/p>\n\n\n\n

3. Kombinieren Sie kompensierende Kontrollen und Abhilfel\u00f6sungen \u2013 Auf diese Weise k\u00f6nnen Sie die Angriffsfl\u00e4che effizienter reduzieren und haben weniger Auswirkungen auf den Betrieb. Mit anderen Worten: Patches sind nicht alles. Es gibt andere M\u00f6glichkeiten, um potenzielle Bedrohungen zu vermeiden, anstatt zu versuchen, die Schwachstellen zu beheben.<\/p>\n\n\n\n

4. Nutzung von Automatisierungstechnologien zur Analyse von Schwachstellen \u2013 \u00dcberpr\u00fcfen Sie die derzeit verwendeten L\u00f6sungen und stellen Sie sicher, dass sie die neuesten Asset-Typen wie Cloud, Container und cyber-physische Systeme ber\u00fccksichtigen.<\/p>\n","protected":false},"excerpt":{"rendered":"

K\u00f6nnten Sie auf Anhieb sagen, wie viele Schwachstellen Ihre IT-Umgebung im Moment bedrohen? W\u00fcrde es Sie erschrecken zu erfahren, dass mehr als die H\u00e4lfte (66 %) der Sicherheitsverantwortlichen angaben, dass ihr Backlog mehr als 100.000 identifizierte Schwachstellen aufweist? Und dass die durchschnittliche Anzahl der Schwachstellen in den Backlogs insgesamt 1,1 Millionen betr\u00e4gt? Dies geht zumindest…<\/p>\n","protected":false},"featured_media":6283,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-6309","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/6309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=6309"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/6283"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=6309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=6309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=6309"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=6309"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=6309"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=6309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}