Im Jahr 2017 hat die Zahl der weltweit registrierten Softwaresicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.003 Meldungen zu Softwareschwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.
Die Auswertung der Informatikwissenschaftler zeigt, dass die Schwachstellen aller Schweregrade zugenommen haben: Bei den Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen (2016: 825; 2017: 1.001), bei den Sicherheitslücken mit mittlerem Schweregrad ein Anstieg um rund 51 Prozent (2016: 4.439; 2017: 6.705). Auch die Softwareschwachstellen mit hohem Schweregrad, die sich dadurch auszeichnen, dass sie besonders gravierende Auswirkungen für die Betroffenen haben könnten und teils auch aus großer Ferne – beispielsweise über das Internet – ausgenutzt werden können, sind um rund 17 Prozent angestiegen (2016: 2.829; 2017: 3.297). Der Schweregrad basiert auf dem CVSS-Score, die ausführliche Statistik finden Sie unter: https://hpi-vdb.de/vulndb/statistics/
»Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Softwarelösungen abhängen«, so HPI-Direktor Professor Dr. Christoph Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme regelmäßig mit Updates aktualisieren. »Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen«, so Meinel. So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.
Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: »Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen«, so Meinel.
Die Datengrundlage
[1] Das HPI-VDB-Portal (»Vulnerability Database«) ist im Zuge der Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl »Internet-Technologien und -Systeme« von Professor Dr. Christoph Meinel am Hasso-Plattner-Institut zum Thema »Security Analytics« entstanden.
Es bietet eine umfassende und sich selbst aktualisierende Datenbank der bekannten Software-Sicherheitslücken. Die Quelle dieser Informationen sind textliche Fehlerbeschreibungen der Software-Hersteller und andere im Internet verfügbare Portale mit Informationen zur Verwundbarkeit von Software und IT-Systemen. Auf der Basis eines strukturierten Datenmodells werden diese Informationen gesammelt, aufbereitet, ausgewertet, normalisiert und in maschinenlesbarer Form der Öffentlichkeit in einer hochperformanten Datenbank frei zugänglich gemacht.
Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). Die Zahl der registrierten Schwachstellen hängt sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken.
Auf der Website https://hpi-vdb.de können Nutzer per Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich über den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent mit den aktuellsten Sicherheitslücken abgeglichen werden.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Schwachstellen »Meltdown« und »Spectre« und die Handlungsempfehlungen für Industrie 4.0
Meltdown und Spectre: Die wichtigsten Fragen und Antworten zu den zwei Schwachstellen in Prozessoren
Zehn Schwachstellen sind für 85 Prozent aller erfolgreichen Exploits verantwortlich
Report zur IT-Sicherheit: Rekordhöhe an Datenlecks und Schwachstellen in 2016
Security Schwachstellenmanagement: Herstellerleistung zeigt große Spannbreite