Software-Schwachstellen erreichen neuen Höchststand

2017 wurden so viele Sicherheitslecks in Software-Produkten bekannt wie nie zuvor. In den zurückliegenden Jahren zeichnet sich deutlich ein Wachstumstrend ab. So zählt das Hasso-Plattner-Institut (HPI) für das Jahr 2017 rund 11.000 Meldungen zu Schwachstellen oder entsprechende Updates. 2016 waren es mit rund 8.100 Meldungen noch deutlich weniger. 2014 wurden etwa 7.700 Sicherheitslecks gemeldet.

Es sei über sämtliche Risikoeinstufungen zu einem Anstieg der Schwachstellen gekommen, so das HPI. So steigt die Zahl der Sicherheitslecks mit mittleren Schweregrad um 51 Prozent auf 6.700. Auch bei Sicherheitslecks mit hohem Risiko sehen die Wissenschaftler an dem Potsdamer Institut ein deutliches Wachstum von 17 Prozent gegenüber dem Vorjahr. 2017 wurden etwa 3300 Schwachstellen mit einem hohen oder sehr hohen Risiko entdeckt oder behoben. Einen Grund für dieses Wachstum nennt das HPI nicht.

„Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen“, so HPI-Direktor Professor Dr. Christoph Meinel.

„Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen“, ergänzt Meinel, der sich dabei unter anderem auf das Betriebssystem Windows XP bezieht, das von Microsoft nicht mehr mit Sicherheitsupdates versorgt wird, aber noch auf Millionen Geräten installiert ist.

Das HPI nimmt sich den Datenschutztag zum Anlass, vor den wachsenden Gefahren durch unsichere Software zu warnen. Denn in immer mehr Bereichen halten internetfähige Geräte Einfluss, auf deren Software die Anwender aber kaum Einfluss nehmen könnten.

Der HPI-Forscher Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: „Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen.“

Doch nicht nur alleine die Zahl der Schwachstellen entscheidet über die Sicherheitslage. Cyberkriminelle ändern zudem ständig Taktiken und Strategien. Eine Analyse des Sicherheitsanbieters Malwarebytes zeigt unter anderem einen sehr deutlichen Anstieg von Ransomware. Kriminelle setzen aber immer mehr auch auf Krypto-Schürfer, Bankentrojaner oder Adware. Immer mehr rücken demnach auch Unternehmen in den Fokus der Angreifer.

Das HPI hat für die eigene Statistik den CVSS-Basescore der Sicherheitslecks heran gezogen. Die Liste reicht bis in das Jahr 1999 zurück. Seitdem wurden knapp 95.000 Software-Schwachstellen in über 220.000 Software-Produkten und Versionen bekannt. Die dazugehörige HPI-Vulnerability Database ist Zug der Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl „Internet-Technologien und -Systeme“ zum Thema Security Analytics entstanden. Das Portal fasst die Informationen aus anderen Portalen und den Meldungen der Software-Hersteller zusammen.

Auf der Website können Nutzer darüber hinaus Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen prüfen lassen. Die Datenbank erlaubt es auch, individuelle Listen mit genutzten Programmen zu erstellen, die dann mit aktuellen Sicherheitslücken abgeglichen werden.