Wo findet man eigentlich die meisten Schwachstellen?

Wo findet man eigentlich die meisten Schwachstellen?

CA Veracode hat in einer Studie mal wieder die Anwendungssicherheit in den Unternehmen, Behörden und öffentlichen Einrichtungen untersucht. Herausgekommen ist, wie ihr euch sicher denken könnt, ein verantwortungsloser Umgang mit Sicherheitsupdates in fast allen untersuchten Bereichen.

Sichere Software: Gefahr durch Open-Source- und Drittanbieter-Komponenten:

Der Einsatz von Komponenten in der Anwendungsentwicklung birgt Risiken. Laut des State of Software Security Report von CA Veracode sind beispielsweise 88 Prozent aller Java-Anwendungen anfällig für Angriffe.

Java ist seit Jahren bekannt für Sicherheitslücken am laufenden Band, ist genau so übel wie Adobes Flash Player. Wobei Adobe jetzt öfter patcht als Oracle.

Wie siehts eigentlich mit Exploits und Updates aus?

Bekannt gewordene Exploits werden gar nicht oder nur mit zu großer Verzögerung beseitigt. (…) Nicht mal ein Drittel (28 Prozent) der Unternehmen führt demnach regelmäßige Analysen, der in ihren Anwendungen verwendeten Open-Source- und Drittanbieter-Komponenten, durch. Vor diesem Hintergrund verwundert es nicht, dass bei einem ersten Scan der Anwendungen in 77 Prozent aller Fälle mindestens eine Schwachstelle gefunden wurde.

Bei den Java-Anwendungen waren es erwartungsgemäß noch mehr Schwachstellen. Und jetzt ratet mal, wo sie die meisten Schwachstellen gefunden haben?

Anwendungen von Behörden, öffentlichen Einrichtungen und anderen administrativen Organisationen weisen hingegen die meisten Schwachstellen auf. Vor allem schwerwiegende Lücken, die beispielsweise Cross Site Scripting oder SQL Injections zulassen, finden sich hier besonders häufig.

Es verwundert also nicht, wenn da mal im großen Stil sensible Daten flöten gehen. Ich finds angesichts der Lücken erstaunlich, dass da nicht mehr passiert! Vielleicht passiert ja auch viel mehr und die kriegen es nur nicht mit?

Open-Source und Dritt-Komponenten

Das Problem ist nicht, dass es gegen bekannt gewordene Lücken keine Updates gibt. Es gibt Updates. Jedenfalls von den aktiv entwickelten Komponenten werden Patches angeboten, doch werden die in einmal gebaute Anwendungen nicht eingespielt bzw. von den Entwicklern nicht zur Verfügung gestellt. Hardware-Firmware z.B. wird von den wenigsten aktualisiert. Oder wer aktualisiert schon Software von einmal installierten Überwachungskameras, Routern, Kühlschränken und Smart-TVs? Fast niemand. Bei den Vertrags-Smartphones und -Tablets sieht es ja gleich noch viel übler aus.

In der Industrie gibt es z.B. Wartungsverträge, die in den seltensten Fällen Sicherheitsupdates mit einschließen. Und selbst wenn, dann läuft der Vertrag irgendwann aus und das wars dann.

Bei der heutigen Komplexität der Betriebssysteme und ihrer Abhängigkeiten von Dritt-Komponenten sind sichere Anwendungen meiner Meinung nach ohnehin nicht mehr gegeben. Außerdem sorgen „Sicherheitsdienste“ dafür, dass Lücken nicht direkt bekannt und geschlossen werden können.

One thought on “Wo findet man eigentlich die meisten Schwachstellen?

Kommentar verfassen