Die neue deutsche Rechtschreibung bereitet uns einmal mehr Kopfzerbrechen. Da einige grössere Verlage sich derer nach mehrjähriger Einführungszeit nun endgültig verweigern wollen, droht das Sprach-Chaos auszubrechen. Eine Anarchie in der Sprache würde uns Jahre zurückwerfen. Ein solches Sprachwirrwarr existiert aber auch und ganz besonders im Bereich der Computersicherheit bezüglich Sicherheitslücken. Das CVE Projekt will hier Abhilfe schaffen.

Ohne die geschriebene Sprache wären Computer in der heutigen Zeit nicht oder nur sehr umständlich bedienbar. Das geschriebene Wort erlaubt den Gedankenaustausch über Tastatur und Bildschirm. Die zu übermittelnde Information wird dabei an Begriffe und Konstellationen dieser gebunden – Worte und Sätze transportieren dabei den Ausdruck des Verfassers.

Dass die Sprache stets ein subjektives Medium verkörpert, ist keine neue Idee, denn so wurde sie schon zu hauf von Philosophen und Denkern diskutiert. Wie wichtig der Disput zur Subjektivität in der Sprache auch und ganz besonders im Informationszeitalters wird, wird ganz besonders im Umgang mit Sicherheitslücken bewusst.

Gehen wir davon aus, dass Sie Administrator oder Benutzer eines Computersystems sind. Als veratwortungsvoller Betreuer kümmern Sie sich natürlich ebenfalls regelmässig um die Sicherheit ihres Rechners. Eine der präventiven Massnahmen ist das Untersuchen des Systems nach potentiellen und existenten Schwachstellen. Einen Grossteil dieser Arbeit nimmt ihnen einer der frei erhältlichen Security Scanner ab, der automatisiert die offensichtlichen Mängel in der Sicherheit des Hosts zu determinieren in der Lage ist.

Als der Scan komplettiert ist, sehen Sie sich den Report an und entdecken einige Schwachstellen, die Sie gerne im Sinne der Sicherheit der Umgebung beheben möchten. Einer der Einträge spezifiziert einen Fehler in der Verarbeitung von Anfragen an den Task Scheduler. Die Schwachstelle wird vom Scanner als Microsoft Windows Task Scheduler Buffer Overflow betitelt.

Da die Informationen, wie das besagte Problem behoben werden und welche möglichen Auswirkungen es haben kann, sehr spärlich sind, wollen Sie sich noch an anderer Stelle informieren. Dazu suchen Sie eine der jeweiligen Verwundbarkeitsdatenbanken auf. Diese setzt aber eine andere Terminologie ein, weshalb nicht klar ist, ob und welche Schwachstelle nun damit gemeint ist.

CVE kann hier helfen eine eindeutige Zuweisung durchzusetzen, wodurch Duplikate und Missverständnisse ausgeräumt werden können. Dieses System ist von grossem Nutzen und wird ein zentraler Pfeiler der modernen Computersicherheit werden.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)