
Im Jahr 2017 hat die Zahl der weltweit registrierten Software-Sicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.003 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.
Die Auswertung der Informatikwissenschaftler zeigt, dass die Schwachstellen aller Schweregrade zugenommen haben: Bei den Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen (2016: 825; 2017: 1.001), bei den Sicherheitslücken mit mittlerem Schweregrad ein Anstieg um rund 51 Prozent (2016: 4.439; 2017: 6.705). Auch die Software-Schwachstellen mit hohem Schweregrad, die sich dadurch auszeichnen, dass sie besonders gravierende Auswirkungen für die Betroffenen haben könnten und teils auch aus großer Ferne – beispielsweise über das Internet – ausgenutzt werden können, sind um rund 17 Prozent angestiegen (2016: 2.829; 2017: 3.297). Der Schweregrad basiert auf dem CVSS-Score, die ausführliche Statistik finden Sie unter: https://hpi-vdb.de/vulndb/statistics/
„Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen“, so HPI-Direktor Professor Dr. Christoph Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme regelmäßig mit Updates aktualisieren. „Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen“, so Meinel. So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.
Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: „Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen“, so Meinel.
Die Datengrundlage
Das HPI-VDB-Portal („Vulnerability Database“) ist im Zuge der Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl „Internet-Technologien und -Systeme“ von Professor Dr. Christoph Meinel am Hasso-Plattner-Institut zum Thema „Security Analytics“ entstanden.
Es bietet eine umfassende und sich selbst aktualisierende Datenbank der bekannten Software-Sicherheitslücken. Die Quelle dieser Informationen sind textliche Fehlerbeschreibungen der Software-Hersteller und andere im Internet verfügbare Portale mit Informationen zur Verwundbarkeit von Software und IT-Systemen.
Auf der Basis eines strukturierten Datenmodelles werden diese Informationen gesammelt, aufbereitet, ausgewertet, normalisiert und in maschinenlesbarer Form der Öffentlichkeit in einer hochperformanten Datenbank frei zugänglich gemacht.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). Die Zahl der registrierten Schwachstellen hängt sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken.
Auf der Website https://hpi-vdb.de können Nutzer per Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich über den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent mit den aktuellsten Sicherheitslücken abgeglichen werden.
Fachartikel

Ohne Sichtbarkeit keine Sicherheit: So erhöhen Unternehmen die Wirksamkeit ihrer NDR-Tools

Microsoft kündigt neue E-Mail-Anforderungen für Massenversender an

Was ist eine automatisierte Sicherheitsvalidierung?

Google Chrome stopft Verlaufslücke: Violette Linkanzeige wird überarbeitet

Chinesische Hackergruppe nutzt Schwachstellen in Ivanti-VPNs für gezielte Angriffe auf Netzwerke
Studien

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen

Intelligente Datenverwaltung: Warum IT-Entscheidungsträger die Kontrolle über ihre Daten übernehmen sollten

Blockchain und Cybersicherheit

BSI veröffentlicht Studie zu Krankenhausinformationssystemen (KIS) und medizinischen Austauschformaten
Whitepaper

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu

Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation

Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus

PQC – Wie Sie Ihre PKI in vier Schritten bereit für das Quantenzeitalter machen

WatchGuard Internet Security Report: 94 Prozent mehr Netzwerk-Malware
Hamsterrad-Rebell

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?

Verborgene Cloud-Risiken? Bedrohungen in M365, Azure & Co. erkennen
