Laut einer Analyse des Hasso-Plattner-Instituts (HPI) aus dem deutschen Pottsdam sind allein in der ersten Hälfte dieses Jahres weltweit 2.662 Software-Sicherheitslücken gemeldet worden – mehr als im gesamten Jahr 2004. Vor allem die mittelschweren Software-Schwachstellen nehmen deutlich zu. Diese hätten im vergangenen Jahr ihren bisherigen absoluten Höchststand erreicht, sagte HPI-Direktor Christoph Meinel. Hingegen nehmen nach seinen Angaben die Sicherheitslücken höchsten Schweregrades seit 2008 ab. Das HPI führt dies auf starke Bemühungen der Hersteller in den letzten Jahren zurück, besonders die kritischsten Lücken zu beseitigen. [...]
„Das einfache Zählen von veröffentlichten Schwachstellen stellt sicher kein vollständiges Maß für die Sicherheit von Software dar“, sagte HPI-Direktor Meinel. Ein möglicher Grund für den Anstieg sei, dass verschiedene neue und verbesserte Methoden und Werkzeuge zum Auffinden von Schwachstellen eingesetzt werden. Darüber hinaus spiele die Popularität der Software und das Sicherheitsbewusstsein der Softwarehersteller eine wichtige Rolle.
„Eine Software, die viele Nutzer hat, lockt auch das Interesse von Sicherheitsforschern und Angreifern an, die wiederum auch potenziell mehr Schwachstellen finden. Des Weiteren investieren viele große Hersteller inzwischen viel Zeit, um Schwachstellen in Ihren eigenen Produkten zu finden“, betonte Meinel.
Das Hasso-Plattner-Institut sammelt in einer eigenen Datenbank für IT-Angriffsanalysen ausschließlich Informationen aus mehreren frei verfügbaren Schwachstellen-Datenbanken – zum Beispiel der National Vulnerability Database der USA – und stellt sie in maschinenlesbarer Form zur Abfrage bereit. Die Einstufung der Schwachstellen nach Kritikalität erfolgt auf Basis des freien und offenen Industriestandards „Common Vulnerability Scoring System“ (CVSS). Auf dieser Grundlage können statistische Aussagen über die Natur und Häufigkeit von veröffentlichten Schwachstellen getroffen werden. „Rückschlüsse darauf, wie viele unbekannte oder sogar unentdeckte Schwachstellen noch in einer Software stecken, lässt das aber nicht zu“, unterstrich der Wissenschaftler. Es hat sich jedoch auch etwas zum Positiven gewandelt: Meinel verwies darauf, dass verbreitete Verfahren wie das Sandboxing oder die zufallsgemäße Speicherverwaltung Software im Prinzip sicherer machen.
MICROSOFT AN DER SPITZE
Laut Halbjahresanalyse 2015 des HPI liegt bei den kritischen Sicherheitslücken in Betriebssystemen das mittlerweile nicht mehr mit Updates versorgte, aber weiterhin rund um den Globus eingesetzte Windows XP mit 511 gemeldeten Schwachstellen an erster Stelle. Apples MAC OSX rangiert auf Platz 2 (429 Meldungen), Linux auf Platz 9 der Rangliste (297 Registrierungen). „Hierbei muss man natürlich berücksichtigen, dass potenzielle Angreifer ein weit verbreitetes Betriebssystem intensiver untersuchen, um entdeckte Schwachstellen dann viel häufiger missbrauchen zu können“, sagte der Potsdamer Informatikprofessor.
Be the first to comment