Die neue deutsche Rechtschreibung bereitet uns einmal mehr Kopfzerbrechen. Da einige grössere Verlage sich derer nach mehrjähriger Einführungszeit nun endgültig verweigern wollen, droht das Sprach-Chaos auszubrechen. Eine Anarchie in der Sprache würde uns Jahre zurückwerfen. Ein solches Sprachwirrwarr existiert aber auch und ganz besonders im Bereich der Computersicherheit bezüglich Sicherheitslücken. Das CVE Projekt will hier Abhilfe schaffen.

Ohne die geschriebene Sprache wären Computer in der heutigen Zeit nicht oder nur sehr umständlich bedienbar. Das geschriebene Wort erlaubt den Gedankenaustausch über Tastatur und Bildschirm. Die zu übermittelnde Information wird dabei an Begriffe und Konstellationen dieser gebunden – Worte und Sätze transportieren dabei den Ausdruck des Verfassers.

Dass die Sprache stets ein subjektives Medium verkörpert, ist keine neue Idee, denn so wurde sie schon zu hauf von Philosophen und Denkern diskutiert. Wie wichtig der Disput zur Subjektivität in der Sprache auch und ganz besonders im Informationszeitalters wird, wird ganz besonders im Umgang mit Sicherheitslücken bewusst.

Gehen wir davon aus, dass Sie Administrator oder Benutzer eines Computersystems sind. Als veratwortungsvoller Betreuer kümmern Sie sich natürlich ebenfalls regelmässig um die Sicherheit ihres Rechners. Eine der präventiven Massnahmen ist das Untersuchen des Systems nach potentiellen und existenten Schwachstellen. Einen Grossteil dieser Arbeit nimmt ihnen einer der frei erhältlichen Security Scanner ab, der automatisiert die offensichtlichen Mängel in der Sicherheit des Hosts zu determinieren in der Lage ist.

Als der Scan komplettiert ist, sehen Sie sich den Report an und entdecken einige Schwachstellen, die Sie gerne im Sinne der Sicherheit der Umgebung beheben möchten. Einer der Einträge spezifiziert einen Fehler in der Verarbeitung von Anfragen an den Task Scheduler. Die Schwachstelle wird vom Scanner als Microsoft Windows Task Scheduler Buffer Overflow betitelt.

Da die Informationen, wie das besagte Problem behoben werden und welche möglichen Auswirkungen es haben kann, sehr spärlich sind, wollen Sie sich noch an anderer Stelle informieren. Dazu suchen Sie eine der jeweiligen Verwundbarkeitsdatenbanken auf. Diese setzt aber eine andere Terminologie ein, weshalb nicht klar ist, ob und welche Schwachstelle nun damit gemeint ist.

CVE kann hier helfen eine eindeutige Zuweisung durchzusetzen, wodurch Duplikate und Missverständnisse ausgeräumt werden können. Dieses System ist von grossem Nutzen und wird ein zentraler Pfeiler der modernen Computersicherheit werden.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)