11.01.2017 | Softwareentwicklung | Im Fokus | Onlineartikel
Weniger Sicherheitslücken in Software
Schwachstellen in Software können eine Gefahr für den Nutzer bedeuten. Über Weak Spots könnten Angreifer in die Computersysteme gelangen.
Denis Junker / FotoliaIm Jahr 2016 sind weltweit insgesamt weniger Software-Sicherheitslücken gemeldet worden als im Vorjahr. Nach Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) wurden in den vergangenen zwölf Monaten 5.577 Meldungen zu Software-Schwachstellen registriert. Das sind zwar mehr als in den Jahren von 2009 bis 2013, allerdings waren es 2015 noch 6.354.
Die Auswertung der Wissenschaftler zeigt, dass sich die Verteilung der Schwachstellen nach Schweregrad kaum geändert hat: Wie im Vorjahr handelt es sich vorwiegend um Sicherheitslücken mit mittlerem Schweregrad (2016: 52 Prozent; 2015: 53 Prozent). Über ein Drittel sind Software-Schwachstellen mit hohem Schweregrad (2016: 39 Prozent; 2015: 37 Prozent). Der Großteil der Schwachstellen könnte der HPI-Analyse zufolge mittels Fernzugriff (Remote) ausgenutzt werden (2016: 84 Prozent; 2015: 86 Prozent).
"Es ist erfreulich, dass immer mehr IT-Unternehmen die Bedeutung von Schwachstellen erkannt haben. Viele von ihnen belohnen im Rahmen sogenannter Bug-Bounty-Programme die Aufdeckung und Meldung von Sicherheitslücken", sagt HPI-Direktor Professor Christoph Meinel. Die Unternehmen fürchteten zu Recht Imageverluste durch den Verkauf oder das Ausnutzen von Schwachstellen.
Analysten finden Sicherheitslücken mit viel Aufwand
Aufgedeckt werden diese "Weak Spots" in Software nach wie vor größtenteils in aufwendiger manueller Arbeit durch erfahrene Analysten. "Ein Vorgehen, das aufgrund der wachsenden Menge sicherheitskritischer Programmcodes zunehmend an seine Grenzen stößt", schrieben Fabian Yamaguchi und Konrad Rieck in der November-Ausgabe 2016 des Springer-Magazins Datenschutz und Datensicherheit (DuD). In ihrem Beitrag "Die Codeanalyseplattform Octopus" stellten sie die semi-automatische Schwachstellenidentifikation mit Big-Data-Technologien vor.
Octopus funktioniert wie eine Suchmaschine für die Codeanalyse und nutzt maschinelle Lernverfahren, um Schwachstellen immer präziser und schneller aufzudecken. Die Plattform soll auf lange Sicht zu einer neuartigen Sicherheitskomponente ausgebaut werden, zu einem sogenannten Code Intelligence System. Es soll sämtliche Informationen zu typischen Schwachstellen in eingesetzen Programmen, Programmbibliotheken und Programmiersprachen zentral erfassen und präservieren. Analysten soll es dann möglich sein, von bereits gewonnen Erkenntnissen anderer Analysten und von der Sicherheitshistorie zu profitieren. Und automatisierte Verfahren sollen kontinuierlich auf potenzielle Schwachstellen aufmerksam machen.
Schwachstellen sind auch ein Thema im IT-Grundschutz
Software-Schwachstellen sind desweiteren auch ein Punkt, der in der Risikoanalyse nach dem IT-Grundschutz-Standard des Bundesamts für Sicherheit in der Informationstechnik in Betracht gezogen wird. Wie die Springer-Autoren Christoph Wegener, Thomas Milde und Wilhelm Dolle in ihrem Buchkapitel "Praxisbausteine zum IT-Grundschutz" erklären, werden diese Sicherheitslücken vom BSI in als "Gefährdung G 4.22" eingestuft und müssen schon bei der Risikoanalyse beachtet werden, um den gesetzlich geforderten Mindeststandard in der IT-Sicherheit beispielsweise bei Betreibern kritischer Infrastrukturen zu gewährleisten. Mehr zum Thema lesen Sie im Springer-Buch "Informationssicherheits-Management" (2016).
