Explosion der Lücken: 2015 schon mehr als 2004 insgesamt

Laut einer Analyse des Hasso-Plattner-Instituts (HPI) aus dem deutschen Pottsdam sind allein in der ersten Hälfte dieses Jahres weltweit 2.662 Software-Sicherheitslücken gemeldet worden – mehr als im gesamten Jahr 2004. Vor allem die mittelschweren Software-Schwachstellen nehmen deutlich zu. Diese hätten im vergangenen Jahr ihren bisherigen absoluten Höchststand erreicht, sagte HPI-Direktor Christoph Meinel. Hingegen nehmen nach seinen Angaben die Sicherheitslücken höchsten Schweregrades seit 2008 ab. Das HPI führt dies auf starke Bemühungen der Hersteller in den letzten Jahren zurück, besonders die kritischsten Lücken zu beseitigen. [...]

Bei den kritischen Schwachstellen in Applikationen liegen die Browser Internet Explorer von Microsoft (806 Veröffentlichungen), Google Chrome (660) und Mozilla Firefox (613) auf den ersten drei Plätzen der Liste. Der Adobe Flash Player folgt mit 425 Meldungen auf Platz 4. Bei Mozillas Thunderbird auf Platz 5 wurden 413 und beim Seamonkey auf dem sechsten Platz 393 Schwachstellen gemeldet. Andere Software-Anwendungen wie Microsoft Office (mit 280 Meldungen auf Platz 9) folgen mit deutlichem Abstand.

EINFALLSTOR BROWSER

Browser seien ein idealer Ausgangspunkt für Hackerangriffe, da sich die Nutzer mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten, erklärte Meinel. Die von den Browsern verwendete Darstellungs-Software für Internet-Inhalte werde stets komplexer, weil Webseiten immer häufiger aus immer „bunteren“ Multi-Media-Formaten und dynamischen Inhalten aufgebaut seien, die richtig angezeigt werden müssten. Deshalb wachse die Gefahr, die dort von Schwachstellen ausgehe.

Laut der neusten HPI-Analyse verteilen sich die Auswirkungen der gemeldeten Schwachstellen zu jeweils 12 bis 17 Prozent auf Probleme mit der Verfügbarkeit, der Integrität und der Vertraulichkeit der Software. In 53 Prozent der Fälle sind sogar alle drei Problembereiche zusammen betroffen. „Die Verfügbarkeit bezieht sich hierbei auf die Erreichbarkeit des Dienstes“, erläuterte Meinel. Mit dem Begriff Integrität sei die Möglichkeit des unbefugten Schreibzugriffes bezeichnet, der eine Änderung der Daten beziehungsweise des Systems zur Folge haben kann. In der Kategorie Vertraulichkeit sei alles erfasst, was mit dem Lesezugriff auf sensible Daten wie zum Beispiel Passwörter zusammenhänge.

REKORDJAHR 2014

Wie aus der Analyse des Potsdamer Instituts hervorgeht, wurden im kompletten Vorjahr 7.143 Schwachstellen gemeldet. Der Wert von 2014 lag damit im 15-Jahresvergleich knapp über den bisherigen Höchstständen von 2006 und 2008. Damals hatte es rund 6.980 veröffentliche Hinweise auf so genannte „Vulnerabilities“ gegeben. Derzeit sind in der entsprechenden Datenbank des HPI für IT-Angriffsanalysen mehr als 70.000 Informationen zu Schwachstellen gespeichert, die in fast 177.000 betroffenen Softwareprogrammen von gut 15.000 Herstellern vorhanden sind.

Mithilfe der Datenbank können auch alle Internetnutzer auf der Seite https://hpi-vdb.de ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das System erkennt die verwendete Browserversion – einschließlich gängiger Plugins – und zeigt eine Liste der bekannten Sicherheitslücken an. Eine Erweiterung der Selbstdiagnose auf sonstige installierte Software ist vom HPI geplant. (pi)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*