Statistik des Hasso-Plattner-Instituts

Noch nie gab es so viele Sicherheitslücken wie 2017

Uhr

Das Hasso-Plattner-Institut hat 2017 mehr als 11'000 Software-Sicherheitslücken registriert. Damit erreichte die Zahl der Schwachstellen einen Rekordwert. Probleme ortet das HPI vor allem bei veralteter Software und im Internet der Dinge.

(Source: REDPIXEL.PL / Shutterstock.com)
(Source: REDPIXEL.PL / Shutterstock.com)

Das Potsdamer Hasso-Plattner-Institut (HPI) hat aus Anlass des Europäischen Datenschutztages Statistiken zur Zahl der global registrierten Software-Sicherheitslücken veröffentlicht. Wie das HPI in einer Mitteilung schreibt, erreichten die Schwachstellen im vergangenen Jahr einen Rekordwert von 11'003. Das seien fast 3000 mehr, als das Institut 2016 registriert habe.

Wie die Statistik zeigt, nahmen Schwachstellen aller Schweregrade zu. Bei den Sicherheitslücken mit geringem Schweregrad verzeichnete das HPI ein Wachstum von rund 21 Prozent gegenüber 2016 auf 1001. Software-Sicherheitslücken mit mittlerem Schweregrad hätten im vergangenen Jahr um 51 Prozent zugenommen.

Zahl der vom HPI seit 1999 verzeichneten Software-Schwachstellen. (Source: Screenshot hpi-vdb.de/HPI)

Bei den Schwachstellen mit hohem Schweregrad lasse sich ein Anstieg von 17 Prozent auf 3297 feststellen. Diese Lücken zeichnen sich laut HPI dadurch aus, dass sie besonders gravierende Auswirkungen für die Betroffenen haben und zum Teil aus grosser Entfernung ausgenutzt werden können.

"Die aktuellen Rekordwerte der registrierten Sicherheitslücken sind alarmierend, da immer größere Bereiche des wirtschaftlichen, politischen und gesellschaftlichen Lebens von komplexen Software-Lösungen abhängen", kommentiert HPI-Direktor Christoph Meinel.

Risiken lauern in alter Software und dem Internet der Dinge

Ein zentrales Sicherheitsrisiko gehe von veralteter Software aus, so Meinel. Firmen und Privatnutzer sollten ihre Programme deshalb mit Updates auf dem neusten Stand halten. Schwer sei das allerdings bei Systemen, für die gar keine Updates mehr entwickelt würden. Etwa Windows XP, für das Microsoft keine Updates mehr anbiete, das aber immer noch auf Millionen von Computern installiert sei.

Daneben gebe es in Privathaushalten und Unternehmen immer mehr Geräte mit Onlineanbindung, auf deren Software die Nutzer kaum Einfluss nehmen könnten. Meinel fordert deshalb, die Hersteller von Geräten im Internet der Dinge (IoT) in die Pflicht zu nehmen. "Für IoT-Produkte bedarf es einer Definition von klaren Sicherheitsrichtlinien. Nur so können Hersteller künftig gezwungen werden, mangelhafte Produkte vom Markt zu nehmen. Auch muss es möglich sein, die Hersteller zur Haftung heranzuziehen, wenn durch verpasste Software-Updates Schäden entstehen", lässt sich der Direktor des HPI in der Mitteilung zitieren.

Die Daten für die Statistik lieferte nach Angaben des HPI die eigene Vulnerability Database. Diese Datenbank baue auf Fehlerbeschreibungen der Software-Hersteller und weitere im Internet verfügbare Portale mit Informationen zur IT-Sicherheit auf. Die Einstufung nach Schweregrad richte sich nach dem Industriestandard CVSS (Common Vulnerability Scoring System).

Webcode
DPF8_78415