Wie viele offene und ungepatchte Sicherheitslücken es in der Schweiz gibt, weiss Gunnar Porada nicht. "Aber es sind viele", sagt er. Porada kennt das Problem aus erster Hand: Mit seiner Firma Innosec prüft er Unternehmen in deren Auftrag auf Schwachstellen und hilft ihnen beim Patchen. Das hat er für uns auch gemacht. Die Befunde sind erschreckend und zeigen den Handlungsbedarf.

Wie nötig Massnahmen wären, zeigen zwei auch voneinander unabhängige Studien:

Einer IBM-Studie zufolge nutzen Cyberkriminelle bei rund der Hälfte ihrer Angriffe Lücken, für die es bereits Patches gibt. Das Team von IBM Security X-Force beobachtete einen 33-prozentigen Anstieg von Angriffen, die Schwachstellen in ungepatchter Software ausnutzten. Dieses Einfallstor hätten weltweit 44% aller Ransomware-Attacken im vergangenen Jahr genutzt, mehr als jede andere Angriffsmethode. In Europa seien sogar 46% aller Ransomware-Attacken auf diesem Weg erfolgt.

Die Unternehmen könnten sich also deutlich besser gegen mehr als die Hälfte der Angriffe schützen, indem sie ihr Patchmanagement verbessern. Die meisten verpassen das: Laut einer Tenable-Studie (PDF) "sind fast ein Drittel aller erkannten Schwachstellen nach einem Jahr weiterhin offen. Mehr als ein Viertel der Schwachstellen werden nie behoben." Im Durchschnitt würden Unternehmen 40 Tage benötigen, um auf sämtlichen Instanzen eine einzige Schwachstelle zu beheben.

In Zusammenarbeit mit Innosec wollte inside-it.ch herausfinden, welche Lücken bei zufällig ausgewählten Unternehmen bestehen. Mithilfe des Vulnerability-Scanners Nessus wurden die entsprechenden Webserver gescannt und nach offenen Ports gesucht.

"Das ist legal", erklärt Innosec-Gründer Gunnar Porada, "weil nur öffentlich verfügbare Informationen abgerufen werden". Dabei würden keine Sicherheitsvorkehrungen überwunden, so Porada.

Beim Scan der Firmen zeigte sich, dass das Angriffspotenzial gross ist. Bei der Website eines Branchenverbands fand der Scanner 9 ungepatchte Apache-Lücken, bei denen das System die Schwere als "hoch" einstufte. Sie alle sind patchbar – das Einspielen einer aktuellen Apache-Version würde genügen.

Bei einem Schweizer Detailhändler fanden sich 15 Lücken, 5 mit kritischem und 10 mit hohem Risiko. Die schwerwiegendste Lücke stammt aus der installierten PHP-Version 5.4.22, deren Support vor 7 Jahren auslief.

Ein ähnliches Bild lieferte ein hiesiger Datacenterbetreiber: Der Scan deckte insgesamt 157 kritische Lücken auf, Der Grund: Veraltete PHP-, SSl- und Ubuntu-Versionen.

Für Gunnar Porada ist das oftmals fehlende Interesse der Chefetage an der IT die Hauptursache für die katastrophale Lage. "Die Chefs wissen nichts von den Lücken", so der Sicherheitsexperte. In der Buchhaltung gebe es wie selbstverständlich Controlling-Mechanismen, aber in der IT würden nicht dieselben Massstäbe angewandt. Dabei seien das Einspielen von Patches "Low Hanging Fruits" der IT-Security.