Immer mehr Security-Lücken entdeckt

Ist es eine gute oder eine schlechte Nachricht, wenn das Hasso-Plattner-Institut (HPI) meldet, dass die Zahl der weltweit registrierten Software-Sicherheitslücken im Jahr 2017 einen neuen Höchststand erreichte? In den vergangenen zwölf Monaten seien 11'000 Lücken registriert oder aktualisiert worden. Im Jahr zuvor seien es erst rund 8000 gewesen und 2015 etwa 7700.
 
Die Grundlage dieser Auswertung bietet eine Datenbank, in der die Fehlerbeschreibungen der Hersteller sowie Informationen aus anderen Portalen zu Verwundbarkeiten von IT-Systemen erfasst sind. Die Frage, ob es tatsächlich immer mehr Schwachstellen gibt, oder ob schlicht mehr Schwachstellen entdeckt werden, wird in einer Mitteilung des HPI nicht abschliessend beantwortet. Die Zahl der registrierten Schwachstellen hänge sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken, schreibt das HPI.
 
Wie aus der Medienmitteilung aber hervorgeht, steigt die Zahl der gefundenen schwerwiegenderen Schwachstellen schneller, als die Zahl der weniger gefährlichen: Bei den Sicherheitslücken mit geringem Schweregrad, basierend auf dem CVSS-Score, ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen, bei den Lücken mit mittlerem Schweregrad ein Anstieg um rund 51 Prozent. Die Security-Lücken mit hohem Schweregrad, die sich dadurch auszeichnen, dass sie besonders gravierende Auswirkungen für die Betroffenen haben könnten, seien um rund 17 Prozent angestiegen.
 
"Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend", interpretiert HPI-Direktor Christoph Meinel die Ergebnisse. Insbesondere deshalb, da immer grössere Bereiche des gesellschaftlichen, wirtschaftlichen und politischen Lebens von komplexen IT-Systemen abhängen. Ausserdem würden veraltete Systeme, für die es keine Hersteller-Updates mehr gebe, ein grosses Risiko darstellen. Mit Blick auf das Smart-Home und das Internet der Dinge fordert Meinel, die Hersteller in die Pflicht zu nehmen. "Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen." Auch müsse es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn es durch mangelhafte Produkte zu Schäden komme. (kjo)