Software-Schwachstellen sind seit 2021 um 21 % gestiegen, wobei laut einem Bericht von HackerOne in diesem Jahr über 65.000 entdeckt wurden.
Die Crowdsourcing-Cybersicherheitsplattform analysierte die von ihren ethischen Hackern aufgedeckten Schwachstellen und stellte fest, dass die Schwachstellen in digitalen Transformationsprojekten im letzten Jahr erheblich zugenommen haben, wobei die damit verbundenen Fehlkonfigurationen um das Zweieinhalbfache und unsachgemäße Autorisierungsprotokolle um fast die Hälfte zugenommen haben.
Bei der Befragung von über 5.000 Hackern in ihrer Community fand HackerOne außerdem heraus, dass mehr als ein Drittel der Hacker der Meinung waren, dass mangelndes Fachwissen das größte Problem für die Sicherheitslage von Unternehmen sei.
Was Hacker denken
Noch besorgniserregender ist, dass die meisten Hacker glaubten, dass automatisierte Tools zur Erkennung von Bedrohungen nicht gut genug seien. 92 % gaben an, dass sie Schwachstellen aufdecken können, die solche Software bei Scans übersieht.
Der Bericht befragte die Hacker auch zu ihren Beweggründen, wobei die meisten (79 %) angaben, dass sie aus ihren Aktivitäten lernen wollten, und 72 % waren durch Geld motiviert. Fast die Hälfte hackt jetzt mehr als letztes Jahr.
Etwas entgegen der Intuition neigten sie auch dazu, qualitativ hochwertigere Programme ins Visier zu nehmen, wobei die Hälfte Programme mit schlechten Kommunikationsfunktionen und langsamen Reaktionszeiten vermied.
Die Hälfte meldete erneut gefundene Schwachstellen nicht, wobei 42 % behaupteten, dass das betreffende Ziel kein angemessenes Verfahren dafür hatte.
Die durchschnittlichen Auszahlungen an Hacker für das Auffinden von Schwachstellen – sogenannte Kopfgelder – sind im Vergleich zum Vorjahr nicht wesentlich gestiegen, jedoch gab es einen deutlichen Anstieg von 315 % bei der durchschnittlichen Auszahlung von Kopfgeldern im Zusammenhang mit Kryptowährungs- und Blockchain-Programmen, von 6.443 $ im Jahr 2021 auf 26.728 $ im Jahr 2022.
„Kunden gehen bei digitalen Transformationsprojekten weiterhin Risiken ein“, kommentierte Chris Evans, CISO von HackerOne. „Der Bericht zeigt auch, dass Hacker geschickt darin sind, die eingeführten Schwachstellen zu identifizieren, damit unsere Kunden sie beheben können, bevor sie zu einem Vorfall führen.“