Software-Sicherheitslücken: Im ersten Halbjahr 2015 weltweit mehr Schwachstellen gemeldet als 2004 insgesamt / Analyse des Hasso-Plattner-Instituts

--------------------------------------------------------------
Selbstdiagnose per Browser
http://ots.de/RuZmE
--------------------------------------------------------------

Potsdam (ots) - Allein in der ersten Hälfte dieses Jahres sind
weltweit 2.662 Software-Sicherheitslücken gemeldet worden - mehr als
im gesamten Jahr 2004. Darauf hat das Hasso-Plattner-Institut (HPI)
aufmerksam gemacht. Nach Analyse des Potsdamer Uni-Instituts nehmen
vor allem die mittelschweren Software-Schwachstellen deutlich zu.
Diese hätten im vergangenen Jahr ihren bisherigen absoluten
Höchststand erreicht, sagte HPI-Direktor Prof. Christoph Meinel.
Hingegen nehmen nach seinen Angaben die Sicherheitslücken höchsten
Schweregrades seit 2008 ab. Das HPI führt dies auf starke Bemühungen
der Hersteller in den letzten Jahren zurück, besonders die
kritischsten Lücken zu beseitigen.

"Das einfache Zählen von veröffentlichten Schwachstellen stellt
sicher kein vollständiges Maß für die Sicherheit von Software dar",
sagte HPI-Direktor Prof. Christoph Meinel. Ein möglicher Grund für
den Anstieg sei, dass verschiedene neue und verbesserte Methoden und
Werkzeuge zum Auffinden von Schwachstellen eingesetzt werden. Darüber
hinaus spiele die Popularität der Software und das
Sicherheitsbewusstsein der Softwarehersteller eine wichtige Rolle.

"Eine Software, die viele Nutzer hat, lockt auch das Interesse von
Sicherheitsforschern und Angreifern an, die wiederum auch potenziell
mehr Schwachstellen finden. Des Weiteren investieren viele große
Hersteller inzwischen viel Zeit, um Schwachstellen in Ihren eigenen
Produkten zu finden", betonte Meinel.

Das Hasso-Plattner-Institut sammelt in einer eigenen Datenbank für
IT-Angriffsanalysen (https://hpi-vdb.de) ausschließlich Informationen
aus mehreren frei verfügbaren Schwachstellen-Datenbanken - zum
Beispiel der National Vulnerability Database der USA - und stellt sie
in maschinenlesbarer Form zur Abfrage bereit. Die Einstufung der
Schwachstellen nach Kritikalität erfolgt auf Basis des freien und
offenen Industriestandards "Common Vulnerability Scoring System"
(CVSS). Auf dieser Grundlage können statistische Aussagen über die
Natur und Häufigkeit von veröffentlichten Schwachstellen getroffen
werden. "Rückschlüsse darauf, wie viele unbekannte oder sogar
unentdeckte Schwachstellen noch in einer Software stecken, lässt das
aber nicht zu", unterstrich der Wissenschaftler.

Meinel verwies darauf, dass verbreitete Verfahren wie das so
genannte Sandboxing (Software wird in einer in sich geschlossenen,
von den übrigen Systemressourcen isolierten Umgebung ausgeführt) oder
die zufallsgemäße Speicherverwaltung Software im Prinzip sicherer
machen.

Bei Betriebssystemen und Browsern liegt jeweils Microsoft vorn

Laut Halbjahresanalyse 2015 des HPI liegt bei den kritischen
Sicherheitslücken in Betriebssystemen die Windows XP-Software mit 511
gemeldeten Schwachstellen an erster Stelle. Apples MAC OSX-System
rangiert auf Platz 2 (429 Meldungen), Linux auf Platz 9 der Rangliste
(297 Registrierungen). "Hierbei muss man natürlich berücksichtigen,
dass potenzielle Angreifer ein weit verbreitetes Betriebssystem
intensiver untersuchen, um entdeckte Schwachstellen dann viel
häufiger missbrauchen zu können", sagte der Potsdamer
Informatikprofessor.

Bei den kritischen Schwachstellen in Applikationen liegen die
Browser Internet Explorer von Microsoft (806 Veröffentlichungen),
Google Chrome (660) und Mozilla Firefox (613) auf den ersten drei
Plätzen der Liste. Der Adobe Flash Player folgt mit 425 Meldungen auf
Platz 4. Bei Mozillas Thunderbird auf Platz 5 wurden 413 und beim
Seamonkey auf dem sechsten Platz 393 Schwachstellen gemeldet. Andere
Software-Anwendungen wie Microsoft Office (mit 280 Meldungen auf
Platz 9) folgen mit deutlichem Abstand.

Browser am häufigsten Ausgangspunkt für Hackerangriffe

Browser seien ein idealer Ausgangspunkt für Hackerangriffe, da
sich die Nutzer mit dem Browser im Internet bewegen und so einen
Startpunkt für Angriffe bieten, erklärte Meinel. Die von den Browsern
verwendete Darstellungs-Software für Internet-Inhalte werde stets
komplexer, weil Webseiten immer häufiger aus immer "bunteren"
Multi-Media-Formaten und dynamischen Inhalten aufgebaut seien, die
richtig angezeigt werden müssten. Deshalb wachse die Gefahr, die dort
von Schwachstellen ausgehe.

Laut der neusten HPI-Analyse verteilen sich die Auswirkungen der
gemeldeten Schwachstellen zu jeweils 12 bis 17 Prozent auf Probleme
mit der Verfügbarkeit, der Integrität und der Vertraulichkeit der
Software. In 53 Prozent der Fälle sind sogar alle drei
Problembereiche zusammen betroffen. "Die Verfügbarkeit bezieht sich
hierbei auf die Erreichbarkeit des Dienstes", erläuterte Meinel. Mit
dem Begriff Integrität sei die Möglichkeit des unbefugten
Schreibzugriffes bezeichnet, der eine Änderung der Daten
beziehungsweise des Systems zur Folge haben kann. In der Kategorie
Vertraulichkeit sei alles erfasst, was mit dem Lesezugriff auf
sensible Daten wie zum Beispiel Passwörter zusammenhänge.

Gemeldete Schwachstellen im Vorjahr auf neuem Höchststand

Wie aus der Analyse des Potsdamer Instituts hervorgeht, wurden im
kompletten Vorjahr 7.143 Schwachstellen gemeldet. Der Wert von 2014
lag damit im 15-Jahresvergleich knapp über den bisherigen
Höchstständen von 2006 und 2008. Damals hatte es rund 6.980
veröffentliche Hinweise auf so genannte "Vulnerabilities" gegeben.
Derzeit sind in der entsprechenden Datenbank des HPI für
IT-Angriffsanalysen mehr als 70.000 Informationen zu Schwachstellen
gespeichert, die in fast 177.000 betroffenen Softwareprogrammen von
gut 15.000 Herstellern vorhanden sind.

Mithilfe der Datenbank können auch alle Internetnutzer auf der
Seite https://hpi-vdb.de ihren Browser kostenlos auf erkennbare
Schwachstellen überprüfen lassen, die Cyberkriminelle oft geschickt
für Angriffe missbrauchen. Das System erkennt die verwendete
Browserversion - einschließlich gängiger Plugins - und zeigt eine
Liste der bekannten Sicherheitslücken an. Eine Erweiterung der
Selbstdiagnose auf sonstige installierte Software ist vom HPI
geplant.

Kurzprofil Hasso-Plattner-Institut

Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (HPI)
in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für
IT-Systems Engineering. Als einziges Universitäts-Institut in
Deutschland bietet es den Bachelor- und Master-Studiengang
"IT-Systems Engineering" an - ein besonders praxisnahes und
ingenieurwissenschaftliches Informatik-Studium, das von derzeit 480
Studenten genutzt wird. Die HPI School of Design Thinking, Europas
erste Innovationsschule für Studenten nach dem Vorbild der Stanforder
d.school, bietet pro Jahr 240 Plätze für ein Zusatzstudium an.
Insgesamt elf HPI-Professoren und über 50 weitere Gastprofessoren,
Lehrbeauftragte und Dozenten sind am Institut tätig. Es betreibt
exzellente universitäre Forschung - in seinen zehn IT-Fachgebieten,
aber auch in der HPI Research School für Doktoranden mit ihren
Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Schwerpunkt
der HPI-Lehre und -Forschung sind die Grundlagen und Anwendungen
großer, hoch komplexer und vernetzter IT-Systeme. Hinzu kommt das
Entwickeln und Erforschen nutzerorientierter Innovationen für alle
Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings stets auf
Spitzenplätze. Mit openHPI.de bietet das Institut seit September 2012
ein interaktives Internet-Bildungsnetzwerk an, das jedem offen steht.

Pressekontakt:
HPI-Pressestelle: presse@hpi.de; Pressesprecher: Hans-Joachim
Allgaier, M.A., Telefon +49 (0)331 5509-119