Zahl schwerer Schwachstellen in Software hat sich laut HPI erhöht

Im Jahr 2015 sind auf der ganzen Welt insgesamt weniger Software-Sicherheitslücken gemeldet worden als im Vorjahr. Allerdings stieg die Zahl veröffentlichter Schwachstellen mit hohem Schweregrad. Nach Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) wurden allein in den vergangenen zwölf Monaten gut 5.350 Meldungen zu Software-Schwachstellen registriert oder aktualisiert. Im Jahr 2014 waren es noch rund 7.200 gewesen. Wie die Übersicht der Informatikwissenschaftler allerdings auch zeigt, liegen im Vergleich zum Vorjahr mehr Sicherheitslücken mit hohem Schweregrad vor (gut 2.000 gegenüber fast 1.800). Hinweise auf so genannte „Vulnerabilities“ mittleren Schweregrads gab es 2015 mit gut 2.800 hingegen deutlich weniger. 2014 waren noch rund 4.800 registriert worden. Kaum Veränderungen gab es bei der Menge an Informationen über Software-Schwachstellen geringer Bedeutung.

Sicherheitslücken im Dezember Grafik: HPI
Sicherheitslücken im Dezember Grafik: HPI

Im Verlauf dieses Jahres registrierte die HPI-Datenbank für IT-Angriffsanalysen (https://hpi-vdb.de) gleichzeitig rund 7.000 neue Software-Produkte und 400 neue Hersteller. Insgesamt sind dort derzeit mehr als 73.100 Informationen zu Schwachstellen gespeichert, die für fast 180.000 betroffene Softwareprogramme von gut 15.500 Herstellern berichtet wurden. „Wegen der Sicherheitslage bei Software müssen Computernutzer auch weiterhin vorsichtig bleiben“, riet HPI-Direktor Prof. Christoph Meinel. Um Schwachstellen zu beseitigen, sollten immer alle Möglichkeiten genutzt werden, Betriebssystem, Internet-Browser und andere Software-Anwendungen zu aktualisieren, mahnte der Potsdamer Informatikwissenschaftler.

In der HPI-Datenbank sind die wesentlichen im Internet veröffentlichten und frei verfügbaren Angaben über Software-Sicherheitslücken und -Probleme integriert und kombiniert. Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). „Aussagen darüber, wie viele unbekannte oder sogar unentdeckte Schwachstellen in einer Software stecken, können wir nicht machen“, betonte Institutsleiter Meinel.

Link zum Selbsttest

Er wies darauf hin, dass alle Internetnutzer auf der Website https://hpi-vdb.de mithilfe einer Selbstdiagnose ihren Browser kostenlos auf erkennbare Schwachstellen überprüfen lassen können, die Cyberkriminelle oft geschickt für Angriffe missbrauchen. Das HPI-System erkennt die verwendete Browserversion – einschließlich gängiger Plugins – und zeigt eine Liste der bekannten Sicherheitslücken an. Software zur Darstellung von Web-Inhalten wird von Hackern mit am häufigsten für Attacken genutzt, da sich die Anwender mit dem Browser im Internet bewegen und so einen Startpunkt für Angriffe bieten. Eine Erweiterung des Selbstdiagnose-Dienstes auf sonstige installierte Software ist laut HPI geplant.




Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (https://hpi.de) in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für IT-Systems Engineering. Als einziges Universitäts-Institut in Deutschland bietet es den Bachelor- und Master-Studiengang „IT-Systems Engineering“ an – ein besonders praxisnahes und ingenieurwissenschaftliches Informatik-Studium, das von derzeit 480 Studenten genutzt wird. Die HPI School of Design Thinking, Europas erste Innovationsschule für Studenten nach dem Vorbild der Stanforder d.school, bietet 240 Plätze für ein Zusatzstudium an. Insgesamt zwölf HPI-Professoren und über 50 weitere Gastprofessoren, Lehrbeauftragte und Dozenten sind am Institut tätig. Es betreibt exzellente universitäre Forschung – in seinen elf Fachgebieten des IT-Systems Engineering, aber auch in der HPI Research School für Doktoranden mit ihren Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und Anwendungen großer, hoch komplexer und vernetzter IT-Systeme. Hinzu kommt das Entwickeln und Erforschen nutzerorientierter Innovationen für alle Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenplätze. Mit openHPI.de bietet das Institut seit September 2012 ein interaktives Internet-Bildungsnetzwerk an, das jedem offen steht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.