Statistische Auswertung von Schwachstellenklassen

Statistische Auswertung von Schwachstellenklassen

Marc Ruef
von Marc Ruef
Lesezeit: 3 Minuten

Angewandte Computersicherheit ist eigentlich relativ simpel:

Eine Schwachstelle entsteht dann, wenn auf Grund fehlender Limitierungen eine Zugriffsmöglichkeit entsteht, die so nicht gewollt war. In Bezug auf die Programmierung bedeutet dies, dass man unvertrauenswürdigen Daten vertraut und auf der Basis dieser uneingeschränkt Zugriffe durchführen lässt.

Eine Auswertung verschiedener Verwundbarkeitsdatenbanken (scip VulDB, Securityfocus, Secunia und OSVDB) sollte zeigen, welche Klasse von Fehlern vorzugsweise zu einer in der Öffentlichkeit wahrgenommenen Schwachstelle führt.

Statistik zur Verteilung der Schwachstellenklassen

Die soeben gezeigte Grafik illustriert die nachfolgend vorgetragenen Ableitungen.

Bei dieser Betrachtung ist auffällig, dass wirklich ein Grossteil der Fehler auf die Unpässlichkeit bei der Entwicklung zurückzuführen ist. Es ist also in erster Linie stets und ausschliesslich die Aufgabe des Entwicklers, ein sicheres Produkt zu entwerfen und umzusetzen.

Lediglich in Bezug auf Speicherschutzverletzungen, die an zweiter Stelle genannt wurden, können partiell ungünstige technische Grundvoraussetzungen vorgeschoben werden. Werden denn Sprachen eingesetzt, die die manuelle Verwaltung des Speichers erfordern – allen voran C/C++ -, steigt das Risiko der Einführung von Sicherheitsproblemen um nahezu 16%.

Die sichere Architektur eines Produkts, die Wahl einer soliden Programmiersprache ohne schwer bewältigende Komplexität sowie das Durchsetzen umfassender Eingabe- sowie Fehlerüberprüfung helfen also dabei, die wichtigsten Sicherheitsprobleme bei der Software-Entwicklung in den Griff zu kriegen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen professionelles Vulnerability Management?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv