Im Jahr 2017 hat die Zahl der weltweit registrierten Software-Sicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.003 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.
Die Auswertung der Informatikwissenschaftler zeigt, dass die Schwachstellen aller Schweregrade zugenommen haben: Bei den Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen (2016: 825; 2017: 1.001), bei den Sicherheitslücken mit mittlerem Schweregrad ein Anstieg um rund 51 Prozent (2016: 4.439; 2017: 6.705). Auch die Software-Schwachstellen mit hohem Schweregrad, die sich dadurch auszeichnen, dass sie besonders gravierende Auswirkungen für die Betroffenen haben könnten und teils auch aus großer Ferne – beispielsweise über das Internet – ausgenutzt werden können, sind um rund 17 Prozent angestiegen (2016: 2.829; 2017: 3.297). Der Schweregrad basiert auf dem CVSS-Score, die ausführliche Statistik finden Sie unter: https://hpi-vdb.de/vulndb/statistics/
„Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen“, so HPI-Direktor Professor Dr. Christoph Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme regelmäßig mit Updates aktualisieren. „Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen“, so Meinel. So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.
Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: „Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen“, so Meinel.
Die Datengrundlage
Das HPI-VDB-Portal („Vulnerability Database“) ist im Zuge der Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl „Internet-Technologien und -Systeme“ von Professor Dr. Christoph Meinel am Hasso-Plattner-Institut zum Thema „Security Analytics“ entstanden.
Es bietet eine umfassende und sich selbst aktualisierende Datenbank der bekannten Software-Sicherheitslücken. Die Quelle dieser Informationen sind textliche Fehlerbeschreibungen der Software-Hersteller und andere im Internet verfügbare Portale mit Informationen zur Verwundbarkeit von Software und IT-Systemen.
Auf der Basis eines strukturierten Datenmodelles werden diese Informationen gesammelt, aufbereitet, ausgewertet, normalisiert und in maschinenlesbarer Form der Öffentlichkeit in einer hochperformanten Datenbank frei zugänglich gemacht.
Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). Die Zahl der registrierten Schwachstellen hängt sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken.
Auf der Website https://hpi-vdb.de können Nutzer per Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich über den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent mit den aktuellsten Sicherheitslücken abgeglichen werden.
Fachartikel
Studien
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
Whitepaper
Leitfaden zur Sicherheit von Operational Technology (OT)
Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten
Deutsche Wirtschaft setzt auch auf Open Source
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
