Deutsches Amt: Software-Riesen machen es Hackern sehr leicht

Das Bundesamt für IT-Sicherheit in Deutschland, dem Innenministerium angeschlossen, hat seinen Lagebericht 2016 publiziert. Darin finden sich Bedrohungslagen, Angriffsmethoden und Trends aufgeführt. In eigenen Kapiteln betrachtet werden zudem die Gefährdungslage der deutschen Verwaltung sowie kritische Infrastrukturen.
 
Analog wie in der Schweiz stellt man auch in Deutschland eine unverändert steigende Professionalisierung der Angreifer und ihrer Angriffsmethoden fest. Auch die Bedrohungen, Techniken und Tendenzen gleichen denjenigen in der Schweiz, ebenso die Türen für Angriffe wie Flash, Firefox und Windows. Gleichzeitig hat sich laut Bericht die Anzahl Lücken in Apples Betriebssystem macOS seit letztem Jahr fast verdoppelt.
 
In "Die Lage der IT-Sicherheit in Deutschland 2016" (PDF) werden die am häufigsten eingesetzten Soft- und teilweise auch Hardwareprodukte untersucht.
 
Und gerade bei diesem Thema werden die Software-Hersteller von staatlicher Seite bemerkenswert deutlich kritisiert. Die grosse Zahl kritischer Löcher sei, so der Bericht, "nicht unbedingt problematisch." Zu kritisieren sei, dass es Hersteller den Angreifern sehr leicht machen, mit Fuzzing kritische Schwachstellen mit sehr wenig Aufwand zu finden und zu nutzen.
 
Fuzzing ist ein gängiges Software-Testverfahren, bei dem man Eingabeschnittstellen einer Software ungültigen, unerwarteten oder zufälligen Daten aussetzt. Software-Hersteller setzen laut Experten Fuzzing ein um Schwachstellen zu entdecken, die sehr grossen Schaden anrichten können.
 
Das Bundesamt kritisiert auch die Security-Kultur einiger, nicht namentlich genannter Hersteller. Diese würden Schwachstellen nach wie vor nur bei anhaltendem öffentlichem Druck schliessen. "Die verschiedenen Initiativen der Softwareindustrie zur Qualitätsverbesserung stecken noch in den Kinderschuhen und werden unter anderem aus Kostengründen nicht konsequent umgesetzt", tadelt die Behörde undiplomatisch.
 
Und als wäre dies nicht genug der Kritik, fand der Bericht bei den Software-Herstellern auch keinen Willen zu Verbesserungen: "Signifikante globale Veränderungen der Softwarequalität sind momentan nicht erkennbar."
 
Und was würde das Amt als "signifikante Verbesserung" der IT-Sicherheit anerkennen? "Wenn alle Hersteller zumindest für neue Produkte den Stand der Technik aus der Sicherheitsforschung direkt umsetzen und für etablierte Produkte schrittweise nachrüsten würden. Der Nachholbedarf ist an dieser Stelle immens."
 
Moniert wird im 68seitigen Bericht zudem, dass es keine oder nur selten Software-Updates gebe für im Internet of Things eingebettete Geräte. Dasselbe gelte für Hardwarekomponenten grösserer Systeme mit eigener Firmware und mobile Internetgeräte. (Marcel Gamma)