Studie des Hasso-Plattner-Instituts
29.01.2018, 15:00 Uhr
2017 war ein Rekordjahr für Software-Schwachstellen
Im vergangenen Jahr mussten Software-Hersteller bei ihren Produkten besonders oft nachbessern. Denn laut einer Studie des Hasso-Plattner-Instituts wurden noch nie zuvor so viele Software-Schwachstellen entdeckt wie 2017.
Die Anzahl entdeckter Software-Schwachstellen hat im vergangenen Jahr einen neuen Höchststand erreicht. Insgesamt rund 11'000 Meldungen zu Sicherheitslücken sind 2017 entweder neu registriert oder aktualisiert worden. Das geht aus einer Studie des Hasso-Plattner-Instituts (HPI) der Universität Potsdam hervor.
Die Wissenschaftler haben die Schwachstellen zudem in drei Schweregrade eingeteilt – gering, mittel und hoch. Im Vergleich zum Vorjahr zeigt sich, dass Sicherheitslücken mit hohem Schweregrad – also jene, die besonders gravierende Auswirkungen für Betroffene haben könnten und teils auch aus grosser Ferne, beispielsweise über das Internet, ausgenutzt werden könnten – um rund 17 Prozent angestiegen sind (2016: 2829; 2017: 3297. Bei mittelschweren Lücken verzeichneten die Forscher gar einen Anstieg um 51 Prozent (2016: 4439; 2017: 6705), die geringfügigen Lücken nahmen um 21 Prozent zu (2016: 825; 2017: 1001). Der Schweregrad der Sicherheitslücken ist gemäss dem HPI nach dem «Common Vulnerability Scoring System» eingestuft worden.
Veraltete Betriebssysteme und vernetzte Geräte
Zu den Entwicklungen sagt der HPI-Direktor Christoph Meinel: «Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer grössere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen». Er empfehle deshalb, dass sowohl Firmen als auch Privatnutzer ihre Programme regelmässig mit Updates aktualisieren sollten.
Ein Sicherheitsrisiko sieht Meinel bei veralteten Betriebssystemen. «[...] Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen grossen wirtschaftlichen wie auch persönlichen Schaden verursachen.» So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.
Für Schwachstellen sind laut Meinel jedoch vermehrt auch internetfähige Geräte verantwortlich. Denn obwohl diese in immer mehr Privathaushalten und Fabriken vorhanden seien, könnten Anwender auf deren Software kaum Einfluss nehmen. Er fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: «Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen.» Laut Meinel muss es auch möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen.
«Verwundbarkeits-Portal» bietet Selbstdiagnose-Funktion
Wie das HPI in einer Medienmitteilung schreibt, diente das sogenannte HPI-VDB-Portal als Grundlage für die Auswertung. Dieses umfasse eine sich selbst aktualisierende Datenbank mit bekannten Software-Sicherheitslücken. Das Portal basiert laut dem HPI auf textlichen Fehlerbeschreibungen der Software Hersteller sowie anderen im Internet verfügbaren Portalen mit Informationen zur Verwundbarkeit von Software und IT-Systemen. Userinnen und Usern bietet das Portal die Funktion, ihre Browser und Browser-Plug-ins per Selbstdiagnose auf erkennbare Schwachstellen abchecken zu lassen. Zudem liessen sich Listen mit Programmen zusammenstellen, die danach laufend mit den aktuellsten Lecks abgeglichen würden, schreibt das HPI abschliessend.