{"id":4065,"date":"2017-01-26T06:31:54","date_gmt":"2017-01-26T05:31:54","guid":{"rendered":"https:\/\/www.3minutencoach.com\/news\/?p=4065"},"modified":"2017-10-31T15:29:20","modified_gmt":"2017-10-31T14:29:20","slug":"software-schwachstellen-zahlen-leicht-ruecklaeufig","status":"publish","type":"post","link":"https:\/\/www.3minutencoach.com\/news\/software-schwachstellen-zahlen-leicht-ruecklaeufig-4065\/","title":{"rendered":"Software-Schwachstellen: Zahlen leicht r\u00fcckl\u00e4ufig"},"content":{"rendered":"Lesedauer:<\/span> 2<\/span> Minuten<\/span><\/span>

Im Jahr 2016 sind weltweit insgesamt weniger Software-Sicherheitsl\u00fccken gemeldet worden als im Vorjahr. Nach Analyse des Potsdamer Hasso-Plattner-Instituts (HPI) wurden in den vergangenen zw\u00f6lf Monaten rund 5.577 Meldungen zu Software-Schwachstellen registriert. Das sind immer noch mehr als in den Jahren von 2009 bis 2013, allerdings waren es 2015 noch 6.354 gewesen.<\/strong><\/p>\n

Die Auswertung der Wissenschaftler zeigt, dass sich die Verteilung der Schwachstellen nach Schweregrad kaum ge\u00e4ndert hat: Wie im Vorjahr handelt es sich vorwiegend um Sicherheitsl\u00fccken mit mittlerem Schweregrad (2016: 52%; 2015: 53%). \u00dcber ein Drittel sind Software-Schwachstellen mit hohem Schweregrad (2016: 39%; 2015: 37%). Der Schweregrad basiert auf dem CVSS-Score, die ausf\u00fchrliche Statistik finden Sie unter: https:\/\/hpi-vdb.de\/vulndb\/statistics\/. Der Gro\u00dfteil der Schwachstellen k\u00f6nnte der HPI-Analyse zufolge „remote“, also aus der Ferne, ausgenutzt werden (2016: 84%; 2015: 86%).<\/p>\n

„Es ist erfreulich, dass immer mehr IT-Unternehmen die Bedeutung von Schwachstellen erkannt haben. Viele von ihnen belohnen im Rahmen sogenannter Bug-Bounty-Programme die Aufdeckung und Meldung von Sicherheitsl\u00fccken“, so HPI-Direktor Professor Christoph Meinel. Die Unternehmen f\u00fcrchteten zu Recht Imageverluste durch den Verkauf oder das Ausnutzen von Schwachstellen. Weiterhin gelte jedoch:

\n„Computernutzer sollten darauf achten, alle Software-Produkte regelm\u00e4\u00dfig auf verf\u00fcgbare Updates zu \u00fcberpr\u00fcfen und so immer auf dem aktuellen Stand zu halten“.<\/p>\n

Auf der Website https:\/\/hpi-vdb.de k\u00f6nnen Nutzer per Selbstdiagnose ihren Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen \u00fcberpr\u00fcfen lassen. Au\u00dferdem lassen sich \u00fcber den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent auf Sicherheitsl\u00fccken \u00fcberpr\u00fcft werden.<\/p>\n

Die Datengrundlage<\/strong><\/p>\n

In der HPI-Datenbank sind die wesentlichen im Internet ver\u00f6ffentlichten und frei verf\u00fcgbaren Angaben \u00fcber Software-Sicherheitsl\u00fccken und -Probleme integriert und kombiniert. Die aktuellen Jahres-Statistiken zu Schwachstellen k\u00f6nnen sich geringf\u00fcgig \u00e4ndern, da Informationen \u00fcber in Vorjahren registrierte Schwachstellen noch nachgereicht bzw. aktualisiert werden. Die Einstufung der Schwachstellen nach Kritikalit\u00e4t basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System).<\/p>\n

Die HPI-Datenbank analysiert neben allgemeinen Informationen \u00fcber eine Schwachstelle wie Schweregrad und \u00c4nderungsdatum zus\u00e4tzlich die Vor- und Nachbedingungen einer Sicherheitsl\u00fccke. Vorbedingungen beziehen sich auf alle Notwendigkeiten, die erf\u00fcllt sein m\u00fcssen, damit eine Schwachstelle ausgenutzt werden kann (z.B. die Zugriffsart). Nachbedingungen sind die Auswirkungen der Ausnutzung einer Schwachstelle (z.B. die Art des Zugriffs auf das betroffene System). Diese Informationen stellt das HPI in maschinen-lesbarem Format bereit, das eine automatische Analyse erm\u00f6glicht.<\/p>\n

Kurzprofil Hasso-Plattner-Institut<\/strong><\/p>\n

Das Hasso-Plattner-Institut f\u00fcr Softwaresystemtechnik GmbH (https:\/\/hpi.de) in Potsdam ist Deutschlands universit\u00e4res Exzellenz-Zentrum f\u00fcr IT-Systems Engineering. Als einziges Universit\u00e4ts-Institut in Deutschland bietet das HPI den Bachelor- und Master-Studiengang „IT-Systems Engineering“ an – ein besonders praxisnahes und ingenieurwissenschaftliches Informatik-Studium, das von derzeit von rund 500 Studierenden genutzt wird. Die HPI School of Design Thinking, Europas erste Innovationsschule f\u00fcr Studenten nach dem Vorbild der Stanforder d.school, bietet j\u00e4hrlich 240 Pl\u00e4tze f\u00fcr ein Zusatzstudium an. Insgesamt zw\u00f6lf HPI-Professoren und \u00fcber 50 weitere Gastprofessoren, Lehrbeauftragte und Dozenten sind am Institut t\u00e4tig. Es betreibt exzellente universit\u00e4re Forschung – in seinen elf IT-Fachgebieten, aber auch in der HPI Research School f\u00fcr Doktoranden mit ihren Forschungsau\u00dfenstellen in Kapstadt, Haifa und Nanjing. Schwerpunkt der HPI-Lehre und -Forschung sind die Grundlagen und Anwendungen gro\u00dfer, hoch komplexer und vernetzter IT-Systeme. Hinzu kommt das Entwickeln und Erforschen nutzerorientierter Innovationen f\u00fcr alle Lebensbereiche. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenpl\u00e4tze.<\/p>\n

R\u00fcckfragen & Kontakt:<\/p>\n

presse@hpi.de

\nChristiane Rosenbach, Tel. 0331 5509-119, christiane.rosenbach@hpi.de

\nund Felicia Flemming, Tel. 0331 5509-274, felicia.flemming@hpi.de<\/p>\n

Quelle: APA Ots<\/a><\/p>\n