Weniger Sicherheitslücken in Software

Weltweit sinkt die Zahl der Schwachstellen in Software. Dennoch haben Computerprogramme häufig Lücken, durch die Angreifer Schaden anrichten können. Big-Data-Technologie kann helfen. 

Im Jahr 2016 sind weltweit insgesamt weniger Software-Sicherheitslücken gemeldet worden als im Vorjahr. Nach Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) wurden in den vergangenen zwölf Monaten 5.577 Meldungen zu Software-Schwachstellen registriert. Das sind zwar mehr als in den Jahren von 2009 bis 2013, allerdings waren es 2015 noch 6.354.

Empfehlung der Redaktion

01.11.2016 | Schwerpunkt | Ausgabe 11/2016

Die Codeanalyseplattform „Octopus“

Die systematische Beseitigung von Schwachstellen in Software ist für den sicheren Betrieb von Computersystemen zentral. Der Beitrag stellt vor, wie die Schwachstellenermittlung mit intelligenten Algorithmen und „Big Data“-Technologien zumindest teilweise automatisiert werden kann.

Die Auswertung der Wissenschaftler zeigt, dass sich die Verteilung der Schwachstellen nach Schweregrad kaum geändert hat: Wie im Vorjahr handelt es sich vorwiegend um Sicherheitslücken mit mittlerem Schweregrad (2016: 52 Prozent; 2015: 53 Prozent). Über ein Drittel sind Software-Schwachstellen mit hohem Schweregrad (2016: 39 Prozent; 2015: 37 Prozent). Der Großteil der Schwachstellen könnte der HPI-Analyse zufolge mittels Fernzugriff (Remote) ausgenutzt werden (2016: 84 Prozent; 2015: 86 Prozent).

"Es ist erfreulich, dass immer mehr IT-Unternehmen die Bedeutung von Schwachstellen erkannt haben. Viele von ihnen belohnen im Rahmen sogenannter Bug-Bounty-Programme die Aufdeckung und Meldung von Sicherheitslücken", sagt HPI-Direktor Professor Christoph Meinel. Die Unternehmen fürchteten zu Recht Imageverluste durch den Verkauf oder das Ausnutzen von Schwachstellen. 

Analysten finden Sicherheitslücken mit viel Aufwand 

Aufgedeckt werden diese "Weak Spots" in Software nach wie vor größtenteils in aufwendiger manueller Arbeit durch erfahrene Analysten. "Ein Vorgehen, das aufgrund der wachsenden Menge sicherheitskritischer Programmcodes zunehmend an seine Grenzen stößt", schrieben Fabian Yamaguchi und Konrad Rieck in der November-Ausgabe 2016 des Springer-Magazins Datenschutz und Datensicherheit (DuD). In ihrem Beitrag "Die Codeanalyseplattform Octopus" stellten sie die semi-automatische Schwachstellenidentifikation mit Big-Data-Technologien vor. 

Octopus funktioniert wie eine Suchmaschine für die Codeanalyse und nutzt maschinelle Lernverfahren, um Schwachstellen immer präziser und schneller aufzudecken. Die Plattform soll auf lange Sicht zu einer neuartigen Sicherheitskomponente ausgebaut werden, zu einem sogenannten Code Intelligence System. Es soll sämtliche Informationen zu typischen Schwachstellen in eingesetzen Programmen, Programmbibliotheken und Programmiersprachen zentral erfassen und präservieren. Analysten soll es dann möglich sein, von bereits gewonnen Erkenntnissen anderer Analysten und von der Sicherheitshistorie zu profitieren. Und automatisierte Verfahren sollen kontinuierlich auf potenzielle Schwachstellen aufmerksam machen. 

Schwachstellen sind auch ein Thema im IT-Grundschutz

Software-Schwachstellen sind desweiteren auch ein Punkt, der in der Risikoanalyse nach dem IT-Grundschutz-Standard des Bundesamts für Sicherheit in der Informationstechnik in Betracht gezogen wird. Wie die Springer-Autoren Christoph Wegener, Thomas Milde und Wilhelm Dolle in ihrem Buchkapitel "Praxisbausteine zum IT-Grundschutz" erklären, werden diese Sicherheitslücken vom BSI in als "Gefährdung G 4.22" eingestuft und müssen schon bei der Risikoanalyse beachtet werden, um den gesetzlich geforderten  Mindeststandard in der IT-Sicherheit beispielsweise bei Betreibern kritischer Infrastrukturen zu gewährleisten. Mehr zum Thema lesen Sie im Springer-Buch "Informationssicherheits-Management" (2016).