Hasso-Plattner-Institut
Hasso-Plattner-Institut
  
Login
 

16.03.2015

News

HPI-Analyse: Zahl der Software-Schwachstellen hat sich stark erhöht

Seit 2011 hat sich die Zahl der gemeldeten Software-Sicherheitslücken weltweit wieder stark erhöht. Nach einer wissenschaftlichen Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) waren Ende 2014 gut 6.500 Schwachstellen veröffentlicht. Wie die Übersicht der Informatikwissenschaftler zeigt, liegt der Wert im 15-Jahresvergleich damit nur knapp unter den Höchstständen von 2006 und 2008. Damals hatte es rund 7.000 veröffentliche Hinweise auf so genannte "Vulnerabilities" gegeben.

Sicherheitslücken
Veröffentlichte Sicherheitslücken insgesamt. Quelle: Hasso-Plattner-Institut (https://hpi-vdb.de, Stand Januar 2015)

Wie das HPI auf der CeBIT in Hannover mitteilte, nahmen vor allem die mittelschweren Software-Schwachstellen deutlich zu und erreichten 2014 ihren absoluten Höchststand. Die Sicherheitslücken von höchstem Schweregrad nehmen hingegen seit 2008 beständig ab, so der Direktor des Instituts, Prof. Christoph Meinel. Der Informatiker führt dies auf starke Bemühungen der Hersteller in den letzten Jahren zurück, "besonders die kritischsten Lücken zu beseitigen". Laut der HPI-Untersuchung verteilen sich die Auswirkungen der Schwachstellen zu jeweils 12 bis 14 Prozent auf Probleme mit der Verfügbarkeit, der Integrität und der Vertraulichkeit der Software. In gut der Hälfte der Fälle sind sogar alle drei Problembereiche zusammen betroffen. 

"Die Verfügbarkeit bezieht sich hierbei auf die Erreichbarkeit des Dienstes", erläuterte Meinel. Mit dem Begriff Integrität sei die Möglichkeit des unbefugten Schreibzugriffes bezeichnet, der eine Änderung der Daten beziehungsweise des Systems zur Folge haben kann. In der Kategorie Vertraulichkeit sei alles erfasst, was mit dem Lesezugriff auf sensible Daten wie zum Beispiel Passwörter zusammenhänge.

Laut der Untersuchung des HPI liegt bei den kritischen Sicherheitslücken in Betriebssystemen die Windows XP-Software mit 511 gemeldeten Schwachstellen an erster Stelle. Apples MAC OSX-System liegt auf Platz 4, Linux auf Platz 7 der Rangliste. "Hierbei muss man natürlich berücksichtigen, dass die Popularität der Software eine Rolle spielt", sagte der IT-Sicherheitsspezialist. Wenn ein Betriebssystem weit verbreitet sei, untersuchten es potenzielle Angreifer viel intensiver, da die Schwachstellen wegen der großen Verbreitung viel häufiger missbraucht werden könne.

Browser-Anwendungen liegen bei kritischen Schwachstellen vorn

Bei den kritischen Schwachstellen in Applikationen liegen die Browser Internet Explorer von Microsoft (700 Veröffentlichungen), Google Chrome (600) und Mozilla Firefox (570) auf den ersten drei Plätzen der Liste. Andere Software-Anwendungen folgen mit deutlichem Abstand. 

"Die Darstellungs-Software für Internet-Inhalte wird stets komplexer, weil Webseiten immer häufiger verschiedene Multi-Media-Formate und zusätzliche dynamische Inhalte verarbeiten können müssen", erläuterte Meinel. Deshalb wachse die Gefahr von Schwachstellen. Browser seien der wohl am häufigsten genutzte Angriffspunkt für Hacker, da sich die Nutzer mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten, erklärte der Potsdamer Wissenschaftler.

Browser-Selbstdiagnose auch auf der CeBIT

Sein Institut präsentiert den CeBIT-Besuchern die entsprechende Datenbank für IT-Angriffsanalysen (https://hpi-vdb.de), in welcher der Großteil der im Internet frei verfügbaren Angaben über Software-Sicherheitslücken und –Probleme integriert und kombiniert sind. Derzeit sind dort mehr als 68.000 Informationen zu Schwachstellen gespeichert, die in fast 173.000 betroffenen Softwareprogrammen von gut 15.000 Herstellern vorhanden sind. Mithilfe der Datenbank des HPI können alle Internetnutzer, also auch CeBIT-Besucher, ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das System erkennt die verwendete Browserversion – einschließlich gängiger Plugins - und zeigt eine Liste der bekannten Sicherheitslücken an. CeBIT-Besucher bekommen die Schwachstellenanalyse live vorgeführt. Eine Erweiterung der Selbstdiagnose auf sonstige installierte Software ist vom HPI geplant.

Inforgrafik: Zahl der Schwachstellen steigt weltweit wieder an

Erläuterungen zur Methodik

Das Hasso-Plattner-Institut betreibt eine Datenbank für IT-Angriffsanalysen, die sogenannte HPI-VDB, die Informationen aus mehreren frei verfügbaren Schwachstellendatenbanken (z.B. National Vulnerability Database, NVD) sammelt und in maschinenlesbarer Form zur Abfrage bereitstellt. Diese Datenbank ist aus einem Projekt entstanden, bei dem das HPI Informationen zu sämtlichen aktuellen veröffentlichten Schwachstellen zur Erkennung von Angriffen benötigt. Basierend auf den gesammelten Daten ist es möglich, statistische Aussagen über die Natur und Häufigkeit von veröffentlichten Schwachstellen zu treffen. Eine dieser Aussagen ist hier aufgegriffen.

In der Analyse aus Anlass der CeBIT erläutert das HPI, dass sich die Anzahl von öffentlich bekannten Schwachstellen in den letzten Jahren fortlaufend erhöht hat, insbesondere bei den mittelschweren Schwachstellen. Der Anstieg der veröffentlichten Schwachstellen hat vermutlich wenig bzw. gar nichts damit zu tun, dass Software unsicherer geworden ist. Es ist sogar eher wahrscheinlich, dass Software sicherer geworden ist (z.B. durch Sandboxing oder ASLR). Das einfache Zählen der Schwachstellen allein stellt noch kein Maß für die Sicherheit von Software dar. Das HPI möchte aber einige mögliche Gründe aufzeigen, wie es zum Anstieg gekommen sein könnte. Ein möglicher Grund aus Sicht des HPI ist, dass verschiedene neue und verbesserte Methoden und Tools zum Auffinden von Schwachstellen eingesetzt werden. Darüber hinaus spielt die Popularität der Software und das Sicherheitsbewusstsein der Softwarehersteller eine wichtige Rolle. Eine Software, die viele Nutzer hat, lockt auch das Interesse von Sicherheitsforschern und Angreifern an, die wiederum auch potenziell mehr Schwachstellen finden. Des Weiteren investieren viele große Hersteller inzwischen viel Zeit, um Schwachstellen in Ihren eigenen Produkten zu finden.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien und offenen Industriestandard CVSS (Common Vulnerability Scoring System). Da der Standard in der Sicherheitscommunity weit verbreitet ist, findet man diesen auch in vielen Schwachstellendatenbanken wieder. Die Kritikalität wird beispielsweise durch den Einfluss einer Schwachstelle auf Integrität, Verfügbarkeit und Vertraulichkeit berechnet. Jedoch fließt ebenfalls mit ein, ob z.B. die Schwachstelle entfernt ausnutzbar ist und ob bereits ein Exploit existiert. Der CVSS-Score besitzt einen Wert zwischen 0 und 10, wobei 10 für die höchste Kritikalität steht. Ein Wert ab 7.0 wird als kritisch eingestuft. Eine Schwachstelle wird damit z.B. als kritisch eingestuft, wenn kompletter Zugriff auf ein System durch einen entfernten Exploit erreicht werden kann, wenn also mit relativ geringen Voraussetzungen ein Angriff mit schwerwiegenden Folgen durchgeführt werden kann. Eine mittelkritische Schwachstelle könnte z.B. auch Vollzugriff auf ein System erlauben, ist jedoch nur schwer ausnutzbar, da weder ein öffentlicher Exploit verfügbar ist und physikalischer Zugriff sowie Authentifizierung erforderlich sind. Es kann jedoch nicht ausgeschlossen werden, dass ein erfahrener Angreifer nicht auch eine mittelkritische Lücke erfolgreich ausnutzen kann.

Das HPI hat in seiner Analyse nur auf Daten über Schwachstellen aus öffentlichen Schwachstellendatenbanken zurückgegriffen. Natürlich können keine Aussagen darüber gemacht werden, wie viele unbekannte oder sogar unentdeckte Schwachstellen in einer Software stecken. Es geht in der Analyse grundsätzlich nur um veröffentlichte Schwachstellen. Damit ist nicht impliziert, dass die Aussagen für sämtliche existierende Schwachstellen gelten.