Der Jahresreport »Vulnerability Review 2016« [1] legt weltweite Zahlen zu den häufigsten Schwachstellen, der Verfügbarkeit von Patches und zu Sicherheitsrisiken innerhalb von IT-Infrastrukturen vor. Darüber hinaus wurden Sicherheitslücken der 50 am weitesten verbreiteten Anwendungen auf privaten PCs untersucht.
Software Vulnerabilities sind eine Hauptursache für Sicherheitsprobleme. Über fehlerbehaftete Software verschaffen sich Hacker Zugang zu IT-Systemen. 2015 zählte Secunia Research von Flexera Software insgesamt 16.081 Schwachstellen in 2.484 Anwendungen von 263 verschiedenen Anbietern. Die Bandbreite der Ursachen verdeutlicht mit welchen Herausforderungen IT-Teams konfrontiert sind, wenn es darum geht, ihre IT-Umgebung vor Angriffen zu schützen. Um die Kontrolle über die IT-Systeme zu behalten, brauchen IT-Teams neben dem vollständigen Überblick über alle laufenden Anwendungen auch restriktive Richtlinien und festgelegte Prozesse, die bei der Aufdeckung von Schwachstellen greifen.
Zahl der Anwendungen und Anbieter sinkt
Im Vergleich zum Vorjahr mit 15.698 Schwachstellen in 3.907 Anwendungen von 514 Anbietern ist sowohl die Zahl der Anwendungen (36 Prozent) als auch die der Anbieter (49 Prozent) deutlich zurückgegangen. »Dieser Rückgang erklärt sich vor allem durch die Fokussierung von Secunia Research auf Systeme und Anwendungen, die im Umfeld von Software Vulnerability Management-Lösungen von Flexera zum Einsatz kommen«, erklärt Kasper Lindgaard, Director of Secunia Research bei Flexera Software. »Grund für die Neuausrichtung ist der kontinuierliche Anstieg der Sicherheitslücken, die in den letzten Jahren aufgedeckt wurden. Ähnliche Strategien werden auch von anderen Research-Instituten wie CVE Mitre verfolgt.«
Patch Rate und Zero Day Vulnerabilities
Weitere Ergebnisse des Vulnerability Review 2016 bestätigen die Trends der Vorjahre: wie 2014 wurden auch im vergangenen Jahr 25 Zero Day Vulnerabilities gezählt. Mit Blick auf die 50 am weitesten verbreiteten Anwendungen auf privaten PCs fanden sich in Microsoft-Programmen 21 Prozent aller registrierten Schwachstellen, während 79 Prozent der Schwachstellen auf Nicht-Microsoft-Programme entfielen. Für die meisten aufgedeckten Sicherheitslücken (84 Prozent) waren am gleichen Tag noch Sicherheitsupdates verfügbar. Der Anteil verfügbarer Patches innerhalb von 30 Tagen nach Bekanntgabe stieg lediglich um ein Prozent. Besonders für Unternehmen mit einer Vielzahl von Endgeräten – einschließlich Geräten, die nicht permanent im Unternehmensnetzwerk eingebunden sind – stellt das eine Herausforderung dar. Sie benötigten vielfältige Software-Vulnerability-Management-Lösungen für einen ausreichenden Schutz.
Die wichtigsten Ergebnisse des Vulnerability Review 2016 im Überblick:
Gesamtzahlen zu allen Anwendungen
- 2015 wurden insgesamt 16.081 Schwachstellen in 2.484 Anwendungen von 263 Anbietern entdeckt.
- Für 84 Prozent der Schwachstellen in 2015 waren schon am Tag der Bekanntgabe Sicherheitsupdates verfügbar.
- Von den in 2015 aufgedeckten 16.081 Sicherheitslücken galten 13,3 Prozent als »sehr kritisch«, 0,5 Prozent als »extrem kritisch«.
- In den fünf beliebtesten Browsern Google Chrome, Mozilla Firefox, Internet Explorer, Opera und Safari wurden 2015 insgesamt 1.114 Schwachstellen gefunden – ein Anstieg von 4 % im Vergleich zum Vorjahr.
- 147 Schwachstellen wurden in den Top-5 der PDF-Lesesoftware gefunden. Dazu zählen Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF und Nitro PDF Reader.
Die Top 50 Anwendungen auf privaten PCs
- 2.048 Schwachstellen wurden in 25 der Top 50 Anwendungen auf privaten PCs entdeckt
- 79 % der Sicherheitslücken betrafen Nicht-Microsoft-Programme. Damit übertrafen diese Programme bei weitem die Zahl der Sicherheitslücken im Windows 7 Betriebssystem (7 Prozent) sowie in anderen Microsoft-Anwendungen (14 Prozent).
- Obwohl nur 17 (33 Prozent) der 50 beliebtesten Anwendungen nicht von Microsoft stammen, sind sie für 79 Prozent aller gefundenen Schwachstellen verantwortlich.
- Der Anteil an Microsoft-Programmen inklusive Windows 7 liegt bei 67 Prozent. Trotzdem wurden hier nur 21 Prozent der Schwachstellen entdeckt.
- Mit 78 Prozent blieb der Anteil der Sicherheitslücken in Nicht-Microsoft-Programmen über einen Zeitraum von fünf Jahren konstant.
- Für 85 Prozent der Schwachstellen standen schon am Tag der Bekanntgabe Sicherheitsupdates zur Verfügung.