Im Jahr 2015 sind global insgesamt weniger Software-Sicherheitslücken gemeldet worden als im Vorjahr. Allerdings stieg die Zahl veröffentlichter Schwachstellen mit hohem Schweregrad. Nach Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) wurden allein in den vergangenen zwölf Monaten gut 5.350 Meldungen zu Software-Schwachstellen registriert oder aktualisiert. Im Jahr 2014 waren es noch rund 7.200 gewesen. Wie die Übersicht der Informatikwissenschaftler allerdings auch zeigt, liegen im Vergleich zum Vorjahr mehr Sicherheitslücken mit hohem Schweregrad vor (gut 2.000 gegenüber fast 1.800).

Hinweise auf so genannte „Vulnerabilities“ mittleren Schweregrads gab es 2015 mit gut 2.800 hingegen deutlich weniger. 2014 waren noch rund 4.800 registriert worden. Kaum Veränderungen gab es bei der Menge an Informationen über Software-Schwachstellen geringer Bedeutung. Sicherheitslücken in Software zu kennen ist deshalb wichtig, weil bei Angriffen auf Rechner und Einbrüchen in IT-Systeme solche Schwachstellen ausgenutzt werden.

Im Verlauf dieses Jahres registrierte die HPI-Datenbank für IT-Angriffsanalysen (https://hpi-vdb.de) gleichzeitig rund 7.000 neue Software-Produkte und 400 neue Hersteller. Insgesamt sind dort derzeit mehr als 73.100 Informationen zu Schwachstellen gespeichert, die für fast 180.000 betroffene Softwareprogramme von gut 15.500 Herstellern berichtet wurden.

„Wegen der Sicherheitslage bei Software müssen Computernutzer auch weiterhin vorsichtig bleiben“, riet HPI-Direktor Prof. Christoph Meinel. Um Schwachstellen zu beseitigen, sollten immer alle Möglichkeiten genutzt werden, Betriebssystem, Internet-Browser und andere Software-Anwendungen zu aktualisieren, mahnte der Potsdamer Informatikwissenschaftler.

In der HPI-Datenbank sind die wesentlichen im Internet veröffentlichten und frei verfügbaren Angaben über Software-Sicherheitslücken und –Probleme integriert und kombiniert. Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). „Aussagen darüber, wie viele unbekannte oder sogar unentdeckte Schwachstellen in einer Software stecken, können wir nicht machen“, betonte Institutsleiter Meinel.

Er wies darauf hin, dass alle Internetnutzer auf der Website https://hpi-vdb.de mithilfe einer Selbstdiagnose ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen können, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das HPI-System erkennt die verwendete Browserversion – einschließlich gängiger Plugins – und zeigt eine Liste der bekannten Sicherheitslücken an. Software zur Darstellung von Web-Inhalten wird von Hackern mit am häufigsten für Attacken genutzt, da sich die Anwender mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten. Eine Erweiterung des Selbstdiagnose-Dienstes auf sonstige installierte Software ist laut HPI geplant.

Quelle: Hasso-Plattner-Institut für Softwaresystemtechnik (HPI)