Die Zahl der Sicherheitslücken in Computerprogrammen hat in den vergangenen Jahren deutlich zugenommen. Ende 2014 seien rund 6500 Software-Schwachstellen bekannt gewesen, gut 2000 mehr als im Jahr 2011, heisst es in einer neuen deutschen Studie.
Die Zahl der Sicherheitslücken in Computerprogrammen steigt markant: von rund 4500 im Jahr 2014 auf rund 6500 heute. Damit liege der Wert aktuell nur knapp unter den bisherigen Höchstständen der Jahre 2006 und 2008, schreiben die Autoren einer Untersuchung des Potsdamer Hasso-Plattner-Instituts (HPI).
In fast 70 Prozent der Fälle betreffen die Sicherheitslücken die Vertraulichkeit der Programme, sie erlauben es also Angreifern, sensible Daten wie zum Beispiel Passwörter zu lesen.
Schlimmste Fehler behoben
Derzeit nähmen vor allem als mittelschwer eingestufte Schwachstellen zu; Sicherheitslücken des höchsten Schweregrads würden hingegen seltener. HPI-Direktor Christoph Meinel erklärte, die Software-Hersteller hätten sich zuletzt darum bemüht, «besonders die kritischsten Lücken zu beseitigen».
Unter den Betriebssystemen hat laut der Analyse Windows XP die meisten kritischen Schwachstellen, nämlich gut 500. Für das Programm werden seit April 2014 keine Sicherheits-Updates mehr angeboten, es wird aber weiterhin genutzt.
Bei Anwendungsprogrammen entfallen laut HPI besonders viele kritische Sicherheitslücken auf Browser: Für den Internet Explorer von Microsoft seien 700 solcher Schwachstellen gezählt worden, bei Chrome von Google 600 und beim Firefox von Mozilla 570.
Angriffspunkt Browser
«Die Darstellungs-Software für Internet-Inhalte wird stets komplexer, weil Webseiten immer häufiger verschiedene Multi-Media-Formate und zusätzliche dynamische Inhalte verarbeiten können müssen», erklärte Meinel. Deshalb wachse die Gefahr von Schwachstellen.
Browser sind Meinel zufolge der wohl am häufigsten genutzte Angriffspunkt für Hacker – schliesslich bewegten sich die Nutzer mithilfe dieser Programme im Internet, sodass sich hier ein Ansatz für Attacken biete.
Das HPI sammelt für seine Datenbank seit 15 Jahren im Internet frei verfügbare Angaben über Software-Sicherheitslücken und -Probleme. Die Sammlung wird den Angaben zufolge mehrmals am Tag aktualisiert.