Cybersicherheit Software-Schwachstellen 2017 auf Rekordhoch

Zahl der endeckten Software-Schwachstellen 2011 bis 2017.
Zahl der endeckten Software-Schwachstellen 2011 bis 2017.

2017 wurden so viele Software-Schwachstellen wie noch nie aufgedeckt. HPI-Direktor Prof. Christoph Meinel gibt Tipps, wie man sich schützen kann.

Die Zahl der Software-Sicherheitslücken hat 2017 einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.000 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.

Die Wissenschaftler des Hasso-Plattner-Instituts stufen die Sicherheitslücken nach ihrer Kritikalität ein. Dabei legen sie den offenen Industriestandard CVSS (Common Vulnerability Scoring System) zugrunde. Die Auswertung zeigt, dass Schwachstellen aller Schweregrade im Vergleich zum Vorjahr zugenommen haben.

  • geringer Schweregrad: Anstieg um rund 21 Prozent
  • mittlerer Schweregrad: Anstieg um rund 51 Prozent
  • hoher Schweregrad: Anstieg um rund 17 Prozent

Der hohe Schweregrad zeichnet sich dadurch aus, dass die Auswirkungen für die Betroffenen besonders gravierend sind und die Angreifer aus großer Ferne, d.h. über das Internet, tätig werden können.

Eigene Systeme absichern

Prof. Dr. Christoph Meinel, Direktor des Hasso-Plattner-Instituts, empfiehlt, dass Nutzer für ihre Software stets die aktuellen Updates einspielen sollten. »Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen großen wirtschaftlichen wie auch persönlichen Schaden verursachen«, sagt Meinel. Dazu zählt z.B. das Betriebssystem Windows XP, das noch auf Millionen von Computern installiert ist. 

Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: »Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen«, so Meinel.

Sicherheitscheck

Auf der Website https://hpi-vdb.de können Nutzer per Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich über den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent mit den aktuellsten Sicherheitslücken abgeglichen werden.