CeBIT: Zahl der Schwachstellen in Software hat sich laut HPI stark erhöht

Hannover. Seit 2011 hat sich die Zahl der gemeldeten Software-Sicherheitslücken weltweit wieder stark erhöht. Nach einer wissenschaftlichen Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) waren Ende 2014 gut 6.900 Schwachstellen veröffentlicht. Wie die Übersicht der Informatikwissenschaftler zeigt, liegt der Wert im 15-Jahresvergleich damit nur knapp unter den Höchstständen von 2006 und 2008. Damals hatte es rund 7.000 veröffentliche Hinweise auf so genannte "Vulnerabilities" gegeben. Wie das HPI auf der CeBIT in Hannover mitteilte, nahmen vor allem die mittelschweren Software-Schwachstellen deutlich zu und erreichten 2014 ihren absoluten Höchststand.

Die Sicherheitslücken von höchstem Schweregrad nehmen hingegen seit 2008 beständig ab, so der Direktor des Instituts, Prof. Christoph Meinel. Der Informatiker führt dies auf starke Bemühungen der Hersteller in den letzten Jahren zurück, "besonders die kritischsten Lücken zu beseitigen". Laut der HPI-Untersuchung verteilen sich die Auswirkungen der Schwachstellen zu jeweils 12 bis 14 Prozent auf Probleme mit der Verfügbarkeit, der Integrität und der Vertraulichkeit der Software. In gut der Hälfte der Fälle sind sogar alle drei Problembereiche zusammen betroffen.

"Die Verfügbarkeit bezieht sich hierbei auf die Erreichbarkeit des Dienstes", erläuterte Meinel. Mit dem Begriff Integrität sei die Möglichkeit des unbefugten Schreibzugriffes bezeichnet, der eine Änderung der Daten beziehungsweise des Systems zur Folge haben kann. In der Kategorie Vertraulichkeit sei alles erfasst, was mit dem Lesezugriff auf sensible Daten wie zum Beispiel Passwörter zusammenhänge.

Laut der Untersuchung des HPI liegt bei den kritischen Sicherheitslücken in Betriebssystemen die Windows XP-Software mit 511 gemeldeten Schwachstellen an erster Stelle. Apples MAC OSX-System liegt auf Platz 4, Linux auf Platz 7 der Rangliste. "Hierbei muss man natürlich berücksichtigen, dass die Popularität der Software eine Rolle spielt", sagte der IT-Sicherheitsspezialist. Wenn ein Betriebssystem weit verbreitet sei, untersuchten es potenzielle Angreifer viel intensiver, da die Schwachstellen wegen der großen Verbreitung viel häufiger missbraucht werden könne.

Bei den kritischen Schwachstellen in Applikationen liegen die Browser Internet Explorer von Microsoft (700 Veröffentlichungen), Google Chrome (600) und Mozilla Firefox (570) auf den ersten drei Plätzen der Liste. Andere Software-Anwendungen folgen mit deutlichem Abstand.

"Die Darstellungs-Software für Internet-Inhalte wird stets komplexer, weil Webseiten immer häufiger verschiedene Multi-Media-Formate und zusätzliche dynamische Inhalte verarbeiten können müssen", erläuterte Meinel. Deshalb wachse die Gefahr von Schwachstellen. Browser seien der wohl am häufigsten genutzte Angriffspunkt für Hacker, da sich die Nutzer mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten, erklärte der Potsdamer Wissenschaftler.

Browser-Selbstdiagnose auch auf der CeBIT

Sein Institut präsentiert den CeBIT-Besuchern die entsprechende Datenbank für IT-Angriffsanalysen (https://hpi-vdb.de), in welcher der Großteil der im Internet frei verfügbaren Angaben über Software-Sicherheitslücken und –Probleme integriert und kombiniert sind. Derzeit sind dort mehr als 68.000 Informationen zu Schwachstellen gespeichert, die in fast 173.000 betroffenen Softwareprogrammen von gut 15.000 Herstellern vorhanden sind.

Mithilfe der Datenbank des HPI können alle Internetnutzer, also auch CeBIT-Besucher, ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das System erkennt die verwendete Browserversion – einschließlich gängiger Plugins - und zeigt eine Liste der bekannten Sicherheitslücken an. CeBIT-Besucher bekommen die Schwachstellenanalyse live vorgeführt. Eine Erweiterung der Selbstdiagnose auf sonstige installierte Software ist vom HPI geplant.

HPI einer der größten Aussteller in Halle 9

Das Hasso-Plattner-Institut gehört in diesem Jahr zu den größten Ausstellern im Themenbereich „Research and Innovation“ der CeBIT. Dort präsentieren die Informatikwissenschaftler neuste Forschungs- und Entwicklungsergebnisse aus der Welt der „Big Data“ für die „d!conomy“ – so das Kunstwort für die „digital economy“. Es soll die Transformation hin zur vollständig vernetzten Wirtschaft zum Ausdruck bringen. Das HPI zeigt auf mehr als 380 Quadratmetern Standfläche zum Beispiel, wie Unternehmensentscheider in Sitzungen künftig auf neuartige Echtzeit-Datenunterstützung zurückgreifen können. Wie das HPI demonstriert, gibt es auch innovative Möglichkeiten der Big Data-Analyse im Fußball und für die Eindämmung von Epidemien in aller Welt. Ferner werden neue Lösungen für höhere IT-Sicherheit sowie kostenlose Onlinekurse für jedermann zu Themen der Informationstechnologie vorgestellt.

Hinweis für Redaktionen:

Detailliertes Material (Texte, Fotos, Videos) zu weiteren spannenden HPI-Themen finden Sie auf unserer Website zur CeBIT: www.hpi.de/cebit.

Interviews mit prominenten CeBIT-Gästen zum Thema IT-Standort Deutschland finden Sie während der Messe auf www.it-gipfelblog.de.

Erläuterungen zur Methodik

Das Hasso-Plattner-Institut betreibt eine Datenbank für IT-Angriffsanalysen, die sogenannte HPI-VDB, die Informationen aus mehreren frei verfügbaren Schwachstellendatenbanken (z.B. National Vulnerability Database, NVD) sammelt und in maschinenlesbarer Form zur Abfrage bereitstellt. Diese Datenbank ist aus einem Projekt entstanden, bei dem das HPI Informationen zu sämtlichen aktuellen veröffentlichten Schwachstellen zur Erkennung von Angriffen benötigt. Basierend auf den gesammelten Daten ist es möglich, statistische Aussagen über die Natur und Häufigkeit von veröffentlichten Schwachstellen zu treffen. Eine dieser Aussagen ist hier aufgegriffen.

In der Analyse aus Anlass der CeBIT erläutert das HPI, dass sich die Anzahl von öffentlich bekannten Schwachstellen in den letzten Jahren fortlaufend erhöht hat, insbesondere bei den mittelschweren Schwachstellen. Der Anstieg der veröffentlichten Schwachstellen hat vermutlich wenig bzw. gar nichts damit zu tun, dass Software unsicherer geworden ist. Es ist sogar eher wahrscheinlich, dass Software sicherer geworden ist (z.B. durch Sandboxing oder ASLR). Das einfache Zählen der Schwachstellen allein stellt noch kein Maß für die Sicherheit von Software dar. Das HPI möchte aber einige mögliche Gründe aufzeigen, wie es zum Anstieg gekommen sein könnte. Ein möglicher Grund aus Sicht des HPI ist, dass verschiedene neue und verbesserte Methoden und Tools zum Auffinden von Schwachstellen eingesetzt werden. Darüber hinaus spielt die Popularität der Software und das Sicherheitsbewusstsein der Softwarehersteller eine wichtige Rolle. Eine Software, die viele Nutzer hat, lockt auch das Interesse von Sicherheitsforschern und Angreifern an, die wiederum auch potenziell mehr Schwachstellen finden. Des Weiteren investieren viele große Hersteller inzwischen viel Zeit, um Schwachstellen in Ihren eigenen Produkten zu finden.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien und offenen Industriestandard CVSS (Common Vulnerability Scoring System). Da der Standard in der Sicherheitscommunity weit verbreitet ist, findet man diesen auch in vielen Schwachstellendatenbanken wieder. Die Kritikalität wird beispielsweise durch den Einfluss einer Schwachstelle auf Integrität, Verfügbarkeit und Vertraulichkeit berechnet. Jedoch fließt ebenfalls mit ein, ob z.B. die Schwachstelle entfernt ausnutzbar ist und ob bereits ein Exploit existiert. Der CVSS-Score besitzt einen Wert zwischen 0 und 10, wobei 10 für die höchste Kritikalität steht. Ein Wert ab 7.0 wird als kritisch eingestuft. Eine Schwachstelle wird damit z.B. als kritisch eingestuft, wenn kompletter Zugriff auf ein System durch einen entfernten Exploit erreicht werden kann, wenn also mit relativ geringen Voraussetzungen ein Angriff mit schwerwiegenden Folgen durchgeführt werden kann. Eine mittelkritische Schwachstelle könnte z.B. auch Vollzugriff auf ein System erlauben, ist jedoch nur schwer ausnutzbar, da weder ein öffentlicher Exploit verfügbar ist und physikalischer Zugriff sowie Authentifizierung erforderlich sind. Es kann jedoch nicht ausgeschlossen werden, dass ein erfahrener Angreifer nicht auch eine mittelkritische Lücke erfolgreich ausnutzen kann.

Das HPI hat in seiner Analyse nur auf Daten über Schwachstellen aus öffentlichen Schwachstellendatenbanken zurückgegriffen. Natürlich können keine Aussagen darüber gemacht werden, wie viele unbekannte oder sogar unentdeckte Schwachstellen in einer Software stecken. Es geht in der Analyse grundsätzlich nur um veröffentlichte Schwachstellen. Damit ist nicht impliziert, dass die Aussagen für sämtliche existierende Schwachstellen gelten.

Kurzprofil Hasso-Plattner-Institut

Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (HPI) in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für IT-Systems Engineering. Als einziges Universitäts-Institut in Deutschland bietet es den Bachelor- und Master-Studiengang "IT-Systems Engineering" an – ein besonders praxisnahes und ingenieurwissenschaftliches Informatik-Studium, das von derzeit 480 Studenten genutzt wird. Die HPI School of Design Thinking, Europas erste Innovationsschule für Studenten nach dem Vorbild der Stanforder d.school, bietet pro Jahr 240 Plätze für ein Zusatzstudium an.

Insgesamt zehn HPI-Professoren und über 50 weitere Gastprofessoren, Lehrbeauftragte und Dozenten sind am Institut tätig. Es betreibt exzellente universitäre Forschung – in seinen neun Fachgebieten, aber auch in der HPI Research School für Doktoranden mit ihren Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und Anwendungen großer, hoch komplexer und vernetzter IT-Systeme. Hinzu kommt das Entwickeln und Erforschen nutzerorientierter Innovationen für alle Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenplätze. Mit openHPI bietet das Institut seit September 2012 ein interaktives Internet-Bildungsnetzwerk an, das jedem offen steht.

Hasso-Plattner-Institut für Softwaresystemtechnik GmbH

Das Hasso-Plattner-Institut (HPI) ist einmalig in der deutschen Universitätslandschaft: Nirgendwo sonst in Deutschland kann man „IT-Systems Engineering“ studieren – eine praxisnahe Alternative zum …