Europäischer Datenschutztag am 28. Januar: Anzahl entdeckter Software-Schwachstellen erreicht 2017 Rekordwert (FOTO)

Im Jahr 2017 hat die Zahl der weltweit registrierten
Software-Sicherheitslücken einen neuen Höchststand erreicht. Die
Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass
in den vergangenen zwölf Monaten rund 11.003 Meldungen zu
Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr
2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf
Platz drei das Jahr 2014 mit 7.682 Schwachstellen.

Die Auswertung der Informatikwissenschaftler zeigt, dass die
Schwachstellen aller Schweregrade zugenommen haben: Bei den
Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21
Prozent im Vergleich zum Vorjahr zu verzeichnen (2016: 825; 2017:
1.001), bei den Sicherheitslücken mit mittlerem Schweregrad ein
Anstieg um rund 51 Prozent (2016: 4.439; 2017: 6.705). Auch die
Software-Schwachstellen mit hohem Schweregrad, die sich dadurch
auszeichnen, dass sie besonders gravierende Auswirkungen für die
Betroffenen haben könnten und teils auch aus großer Ferne –
beispielsweise über das Internet – ausgenutzt werden können, sind um
rund 17 Prozent angestiegen (2016: 2.829; 2017: 3.297). Der
Schweregrad basiert auf dem CVSS-Score, die ausführliche Statistik
finden Sie unter: https://hpi-vdb.de/vulndb/statistics/.

„Die aktuellen Rekordwerte der registrierten Sicherheitslücken
sind alarmierend, da immer größere Bereiche des wirtschaftlichen,
politischen und gesellschaftlichen Lebens von komplexen
Software-Lösungen abhängen“, so HPI-Direktor Professor Dr. Christoph
Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme
regelmäßig mit Updates aktualisieren. „Auch Systeme, für die gar
keine Updates mehr entwickelt werden, stellen ein hohes
Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie
auch persönlichen Schaden verursachen“, so Meinel. So sei
beispielsweise das Betriebssystem Windows XP, für das der Hersteller
Microsoft eigentlich keine Updates mehr anbietet, heute noch auf
Millionen von Computern installiert.

Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken
internetfähige Geräte, auf deren Software die Anwender aber kaum
Einfluss nehmen können. Meinel fordert daher, die Hersteller
rechtlich zu verpflichten, grundlegende Sicherheitsstandards für
Hard- und Software einzuhalten: „Für IoT-Produkte bedarf es einer
Definition von klaren Sicherheitsrichtlinien. Nur so können
Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt
zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung
heranzuziehen, wenn durch verpasste Software-Updates Schäden
entstehen“, so Meinel.

Die Datengrundlage

Das HPI-VDB-Portal („Vulnerability Database“) ist im Zuge der
Forschungsarbeiten des IT-Security Engineering Teams am Lehrstuhl
„Internet-Technologien und -Systeme“ von Professor Dr. Christoph
Meinel am Hasso-Plattner-Institut zum Thema „Security Analytics“
entstanden.

Es bietet eine umfassende und sich selbst aktualisierende
Datenbank der bekannten Software-Sicherheitslücken. Die Quelle dieser
Informationen sind textliche Fehlerbeschreibungen der
Software-Hersteller und andere im Internet verfügbare Portale mit
Informationen zur Verwundbarkeit von Software und IT-Systemen. Auf
der Basis eines strukturierten Datenmodelles werden diese
Informationen gesammelt, aufbereitet, ausgewertet, normalisiert und
in maschinenlesbarer Form der Öffentlichkeit in einer
hochperformanten Datenbank frei zugänglich gemacht.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf
dem freien, offenen und stark genutzten Industriestandard CVSS
(Common Vulnerability Scoring System). Die Zahl der registrierten
Schwachstellen hängt sowohl von der tatsächlichen Anzahl der
Schwachstellen ab, als auch von dem Aufwand, der betrieben wird,
diese aufzudecken.

Auf der Website https://hpi-vdb.de können Nutzer per
Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf
erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich
über den Dienst individuelle Listen mit selbst genutzten Programmen
erstellen, die dann permanent mit den aktuellsten Sicherheitslücken
abgeglichen werden.

Kurzprofil Hasso-Plattner-Institut

Das Hasso-Plattner-Institut (HPI) in Potsdam ist Deutschlands
universitäres Exzellenz-Zentrum für Digital Engineering
(https://hpi.de). Mit dem Bachelor- und Master-Studiengang
„IT-Systems Engineering“ bietet die gemeinsame
Digital-Engineering-Fakultät der Universität Potsdam und des HPI ein
deutschlandweit einmaliges und besonders praxisnahes
ingenieurwissenschaftliches Informatik-Studium an, das von derzeit
rund 500 Studierenden genutzt wird. Bei den CHE-Hochschulrankings
belegt das HPI stets Spitzenplätze. Die HPI School of Design
Thinking, Europas erste Innovationsschule für Studenten nach dem
Vorbild der Stanforder d.school, bietet jährlich 240 Plätze für ein
Zusatzstudium an. Derzeit sind am HPI dreizehn Professoren und über
50 weitere Gastprofessoren, Lehrbeauftragte und Dozenten tätig. Es
betreibt exzellente universitäre Forschung – in seinen
IT-Fachgebieten, aber auch in der HPI Research School für Doktoranden
mit ihren Forschungsaußenstellen in Kapstadt, Haifa und Nanjing.
Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und
Anwendungen großer, hoch komplexer und vernetzter IT-Systeme. Hinzu
kommt das Entwickeln und Erforschen nutzerorientierter Innovationen
für alle Lebensbereiche.

Pressekontakt:
presse@hpi.de
Christiane Rosenbach, Tel. 0331 5509-119, christiane.rosenbach@hpi.de
und Felicia Flemming, Tel. 0331 5509-274, felicia.flemming@hpi.de

Original-Content von: HPI Hasso-Plattner-Institut, übermittelt durch news aktuell

  internet, software