Die Auswertung der Informatikwissenschaftler zeigt, dass die  Schwachstellen aller Schweregrade zugenommen haben: Bei den  Sicherheitslücken mit geringem Schweregrad ist ein Anstieg um rund 21 Prozent im Vergleich zum Vorjahr zu verzeichnen (2016: 825; 2017:  1001), bei den Sicherheitslücken mit mittlerem Schweregrad ein  Anstieg um rund 51 Prozent (2016: 4439; 2017: 6705). Auch die  Software-Schwachstellen mit hohem Schweregrad, die sich dadurch  auszeichnen, dass sie besonders gravierende Auswirkungen für die  Betroffenen haben könnten und teils auch aus grosser Ferne -  beispielsweise über das Internet - ausgenutzt werden können, sind um  rund 17 Prozent angestiegen (2016: 2829; 2017: 3297).

"Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind  alarmierend, da immer grössere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen", so HPI-Direktor Professor Dr. Christoph Meinel. Sowohl Firmen als auch Privatnutzer sollten ihre Programme regelmässig mit Updates aktualisieren. "Auch Systeme, für die gar keine Updates mehr entwickelt werden, stellen ein hohes Sicherheitsrisiko dar und können einen grossen wirtschaftlichen wie auch persönlichen Schaden verursachen", so Meinel. So sei beispielsweise das Betriebssystem Windows XP, für das der Hersteller Microsoft eigentlich keine Updates mehr anbietet, heute noch auf Millionen von Computern installiert.

Gleichzeitig gebe es in immer mehr Privathaushalten und Fabriken internetfähige Geräte, auf deren Software die Anwender aber kaum Einfluss nehmen können. Meinel fordert daher, die Hersteller rechtlich zu verpflichten, grundlegende Sicherheitsstandards für Hard- und Software einzuhalten: "Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen", so Meinel.

Die Einstufung der Schwachstellen nach Kritikalität basiert auf dem freien, offenen und stark genutzten Industriestandard CVSS (Common Vulnerability Scoring System). Die Zahl der registrierten Schwachstellen hängt sowohl von der tatsächlichen Anzahl der Schwachstellen ab, als auch von dem Aufwand, der betrieben wird, diese aufzudecken.

Auf der Website https://hpi-vdb.de können Nutzer per Selbstdiagnose ihre Browser und Browser-Plugins kostenlos auf erkennbare Schwachstellen überprüfen lassen. Außerdem lassen sich über den Dienst individuelle Listen mit selbst genutzten Programmen erstellen, die dann permanent mit den aktuellsten Sicherheitslücken abgeglichen werden.  (pd/eka)

https://hpi-vdb.de/vulndb/statistics/