- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Datenbank für IT-Angriffsanalysen


Software-Sicherheitslücken: Im ersten Halbjahr 2015 mehr Schwachstellen gemeldet als 2004 insgesamt, ermittelt das HPI
In HPI-Datenbank registrierte Software-Schwachstellen nehmen zu - Hasso-Plattner-Institut hat eine Halbjahresbilanz zu den weltweit registrierten Software-Sicherheitslücken gezogen

(20.08.15) - Allein in der ersten Hälfte dieses Jahres sind weltweit 2.662 Software-Sicherheitslücken gemeldet worden - mehr als im gesamten Jahr 2004. Darauf hat das Hasso-Plattner-Institut (HPI) aufmerksam gemacht. Nach Analyse des Potsdamer Uni-Instituts nehmen vor allem die mittelschweren Software-Schwachstellen deutlich zu. Diese hätten im vergangenen Jahr ihren bisherigen absoluten Höchststand erreicht, sagte HPI-Direktor Prof. Christoph Meinel. Hingegen nehmen nach seinen Angaben die Sicherheitslücken höchsten Schweregrades seit 2008 ab. Das HPI führt dies auf starke Bemühungen der Hersteller in den letzten Jahren zurück, besonders die kritischsten Lücken zu beseitigen.

"Das einfache Zählen von veröffentlichten Schwachstellen stellt sicher kein vollständiges Maß für die Sicherheit von Software dar", sagte HPI-Direktor Prof. Christoph Meinel. Ein möglicher Grund für den Anstieg sei, dass verschiedene neue und verbesserte Methoden und Werkzeuge zum Auffinden von Schwachstellen eingesetzt werden. Darüber hinaus spiele die Popularität der Software und das Sicherheitsbewusstsein der Softwarehersteller eine wichtige Rolle.

"Eine Software, die viele Nutzer hat, lockt auch das Interesse von Sicherheitsforschern und Angreifern an, die wiederum auch potenziell mehr Schwachstellen finden. Des Weiteren investieren viele große Hersteller inzwischen viel Zeit, um Schwachstellen in Ihren eigenen Produkten zu finden", betonte Meinel.

Das Hasso-Plattner-Institut sammelt in einer eigenen Datenbank für IT-Angriffsanalysen ausschließlich Informationen aus mehreren frei verfügbaren Schwachstellen-Datenbanken - zum Beispiel der National Vulnerability Database der USA - und stellt sie in maschinenlesbarer Form zur Abfrage bereit. Die Einstufung der Schwachstellen nach Kritikalität erfolgt auf Basis des freien und offenen Industriestandards "Common Vulnerability Scoring System" (CVSS). Auf dieser Grundlage können statistische Aussagen über die Natur und Häufigkeit von veröffentlichten Schwachstellen getroffen werden. "Rückschlüsse darauf, wie viele unbekannte oder sogar unentdeckte Schwachstellen noch in einer Software stecken, lässt das aber nicht zu", unterstrich der Wissenschaftler.

Meinel verwies darauf, dass verbreitete Verfahren wie das so genannte Sandboxing (Software wird in einer in sich geschlossenen, von den übrigen Systemressourcen isolierten Umgebung ausgeführt) oder die zufallsgemäße Speicherverwaltung Software im Prinzip sicherer machen.

Bei Betriebssystemen und Browsern liegt jeweils Microsoft vorn
Laut Halbjahresanalyse 2015 des HPI liegt bei den kritischen Sicherheitslücken in Betriebssystemen die Windows XP-Software mit 511 gemeldeten Schwachstellen an erster Stelle. Apples MAC OSX-System rangiert auf Platz 2 (429 Meldungen), Linux auf Platz 9 der Rangliste (297 Registrierungen). "Hierbei muss man natürlich berücksichtigen, dass potenzielle Angreifer ein weit verbreitetes Betriebssystem intensiver untersuchen, um entdeckte Schwachstellen dann viel häufiger missbrauchen zu können", sagte der Potsdamer Informatikprofessor.

Bei den kritischen Schwachstellen in Applikationen liegen die Browser Internet Explorer von Microsoft (806 Veröffentlichungen), Google Chrome (660) und Mozilla Firefox (613) auf den ersten drei Plätzen der Liste. Der Adobe Flash Player folgt mit 425 Meldungen auf Platz 4. Bei Mozillas Thunderbird auf Platz 5 wurden 413 und beim Seamonkey auf dem sechsten Platz 393 Schwachstellen gemeldet. Andere Software-Anwendungen wie Microsoft Office (mit 280 Meldungen auf Platz 9) folgen mit deutlichem Abstand.

Browser am häufigsten Ausgangspunkt für Hackerangriffe
Browser seien ein idealer Ausgangspunkt für Hackerangriffe, da sich die Nutzer mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten, erklärte Meinel. Die von den Browsern verwendete Darstellungs-Software für Internet-Inhalte werde stets komplexer, weil Webseiten immer häufiger aus immer "bunteren" Multi-Media-Formaten dynamischen Inhalten aufgebaut seien, die richtig angezeigt werden müssten. Deshalb wachse die Gefahr, die dort von Schwachstellen ausgehe.

Laut der neusten HPI-Analyse verteilen sich die Auswirkungen der gemeldeten Schwachstellen zu jeweils 12 bis 17 Prozent auf Probleme mit der Verfügbarkeit, der Integrität und der Vertraulichkeit der Software. In 53 Prozent der Fälle sind sogar alle drei Problembereiche zusammen betroffen. "Die Verfügbarkeit bezieht sich hierbei auf die Erreichbarkeit des Dienstes", erläuterte Meinel. Mit dem Begriff Integrität sei die Möglichkeit des unbefugten Schreibzugriffes bezeichnet, der eine Änderung der Daten beziehungsweise des Systems zur Folge haben kann. In der Kategorie Vertraulichkeit sei alles erfasst, was mit dem Lesezugriff auf sensible Daten wie zum Beispiel Passwörter zusammenhänge.

Gemeldete Schwachstellen im Vorjahr auf neuem Höchststand
Wie aus der Analyse des Potsdamer Instituts hervorgeht, wurden im kompletten Vorjahr 7.143 Schwachstellen gemeldet. Der Wert von 2014 lag damit im 15-Jahresvergleich knapp über den bisherigen Höchstständen von 2006 und 2008. Damals hatte es rund 6.980 veröffentliche Hinweise auf so genannte "Vulnerabilities" gegeben. Derzeit sind in der entsprechenden Datenbank des HPI für IT-Angriffsanalysen mehr als 70.000 Informationen zu Schwachstellen gespeichert, die in fast 177.000 betroffenen Softwareprogrammen von gut 15.000 Herstellern vorhanden sind.

Mithilfe der Datenbank können auch alle Internetnutzer auf der Seite https://hpi-vdb.de ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das System erkennt die verwendete Browserversion - einschließlich gängiger Plugins - und zeigt eine Liste der bekannten Sicherheitslücken an. Eine Erweiterung der Selbstdiagnose auf sonstige installierte Software ist vom HPI geplant. (Hasso-Plattner-Institut: ra)


Hasso-Plattner-Institut: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Hacker manipulieren Gesichtserkennungssoftware

    Cyberkriminalität beschäftigt Unternehmen branchenübergreifend mehr denn je. Ende letzten Jahres haben Sicherheitsexperten und Datenwissenschaftler von Forcepoint Trends und Bedrohungen identifiziert, mit denen sich Unternehmen 2019 konfrontiert sehen. Dazu gehörten etwa Security Trust Ratings und Gefahren wie Angriffe auf Cloud-Infrastrukturen in der Industrie-4.0 und Identitätsdiebstahl per Gesichtserkennungssoftware. Jetzt ziehen sie ein erstes Fazit. In einer digitalen Welt ohne klare Grenzen sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Sicherheit daher von oben nach unten in ihre Unternehmenskultur integrieren. Sicherheit darf nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert.

  • Infrastruktur- und Datenpflegekonzept

    Die zunehmende Verbreitung von Geräten und Sensoren des "Internet of Things" (IoT) hilft dabei, die steigenden Herausforderungen im Gesundheitswesen zu meistern. Die vernetzten Geräte liefern gesundheitsbezogene Benachrichtigungen oder helfen sogar beim Management chronischer Krankheiten. Ärzte werden künftig anhand Daten noch bessere Diagnosen stellen, bessere Behandlungspläne erarbeiten und zugleich Effizienzmängel und Verschwendung im Gesundheitswesen beseitigen können. Eine wahre Revolution in der Nutzung von Daten kündigt sich an - doch zuerst gibt es Stolpersteine zu beseitigen. Während die von Sensoren und Geräten gelieferten Daten explosionsartig zunehmen, werden Krankenhäuser durch veraltete Technologien ausgebremst, die nicht auf die Datenflut ausgelegt sind. Menge und Bandbreite der erzeugten Daten erfordern ein ganzheitliches Infrastruktur- und Datenpflegekonzept. Zudem führen veraltete Rechenzentren in Kombination mit mehreren Cloud-Anbietern leicht zu Datenengpässen und steigenden Kosten. Dies ist das Gegenteil dessen, was Krankenhäuser erreichen möchten.

  • WORM gestern, heute und morgen aktuell

    Gefühlt existiert die WORM (Write Once Read Many)-Technologie schon seit einer halben Ewigkeit. Immerhin gehen die Ursprünge auf Mitte der 1980er Jahre zurück. Und trotz vieler technologischer Neuerungen und Errungenschaften - oder vielleicht gerade wegen der Vielfalt und den rasanten Entwicklungszyklen - ist WORM eine Technologie, die uns noch weit in die Zukunft begleiten wird. WORM bezeichnet eine spezifische Art, Daten zu speichern. Nach der Speicherung können die Daten zwar gelesen, jedoch nicht mehr verändert oder überschrieben werden. Diese Form der Speicherung ist schon immer interessant für Unternehmen, die Informationen aufgrund von Gesetzen und Vorschriften langfristig und vor allem revisionssicher speichern müssen.

  • Hack Backs - Pro und Kontra

    Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen. Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen - mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde "verloren" gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte "Hack Backs" zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.

  • Ein Jahr DSGVO: Viel Lärm um nichts?

    Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DSGVO wird tatsächlich "gelebt" und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. "Viel Lärm um Nichts" also? Oder doch eher "Ende gut, alles gut"? In Wahrheit ist es weder das Eine noch das Andere - wir haben in dieser "Unendlichen Geschichte" schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen - in Form des "Gesetzes zum Schutz von Geschäftsgeheimnissen" (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.