Suchen

Anzahl entdeckter Software-Schwachstellen erreicht 2017 Rekordwert

Redakteur: Sebastian Gerstl

2017 hat die Zahl weltweit registrierter Software-Sicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten 11.003 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen.

Firmen zum Thema

Die Anzahl an jährlich entdeckten neuen Sicherheitslücken in Software hat 2017 einen neuen Rekordstand erreicht. Unter den rund 11.003 gemeldeten Schwachstellen waren auch 3.297, die mindestens als schwere Security-Risiken eingestuft wurden.
Die Anzahl an jährlich entdeckten neuen Sicherheitslücken in Software hat 2017 einen neuen Rekordstand erreicht. Unter den rund 11.003 gemeldeten Schwachstellen waren auch 3.297, die mindestens als schwere Security-Risiken eingestuft wurden.
(Bild: HPI)

Die Auswertung der Informatikwissenschaftler zeigt, dass die Schwachstellen aller Schweregrade zugenommen haben: Bei den Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen. Waren es 2016 noch 825 Fälle, wurden 2017 bereits 1.001 registriert.

Besonders stark gestiegen ist die Zahl der Fälle bei den Sicherheitslücken mit mittlerem Schweregrad. Hier wird ein Anstieg um rund 51 Prozent (2016: 4.439; 2017: 6.705) festgestellt.

Auch die Software-Schwachstellen mit hohem Schweregrad, die sich dadurch auszeichnen, dass sie besonders gravierende Auswirkungen für die Betroffenen haben könnten und teils auch aus großer Ferne – beispielsweise über das Internet – ausgenutzt werden können, sind um rund 17 Prozent angestiegen, von 2.829 im Jahr 2016 auf 3.297 in 2017. Der Schweregrad basiert auf dem CVSS-Score. Die ausführliche Gesamt-Statistik kann online eingesehen werden.

„Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen“, so HPI-Direktor Professor Dr. Christoph Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme regelmäßig mit Updates aktualisieren. „Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen“, so Meinel. So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.

Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: „Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen“, so Meinel.

Die Datengrundlage

Das HPI-VDB-Portal („Vulnerability Database“) ist im Zuge der Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl "Internet-Technologien und -Systeme" von Professor Dr. Christoph Meinel am Hasso-Plattner-Institut zum Thema "Security Analytics" entstanden.

Es bietet eine umfassende und sich selbst aktualisierende Datenbank der bekannten Software-Sicherheitslücken. Die Quelle dieser Informationen sind textliche Fehlerbeschreibungen der Software-Hersteller und andere im Internet verfügbare Portale mit Informationen zur Verwundbarkeit von Software und IT-Systemen.

Auf der Basis eines strukturierten Datenmodelles werden diese Informationen gesammelt, aufbereitet, ausgewertet, normalisiert und in maschinenlesbarer Form der Öffentlichkeit in einer hochperformanten Datenbank frei zugänglich gemacht.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). Die Zahl der registrierten Schwachstellen hängt sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken.

(ID:45109664)