Der Bereich der Computersicherheit ist, vor allem gemessen an traditionellen Disziplinen, unglaublich jung. Doch dies muss nicht zwingend als unumstösslicher Nachteil wahrgenommen werden. So lassen sich nämlich viele Modelle aus anderen Wissenschaften übernehmen und dadurch vom Erfahrungsschatz dieser profitieren.

Die Veröffentlichung von neuen Schwachstellen gilt als massgeblicher Indikator für die aktuelle Bedrohungslage und zukünftige Gefahren. Aus diesem Grund haben wir statistische Daten verschiedener Quellen miteinander kombiniert und ausgewertet. Mit diesem Beitrag soll versucht werden die Vergangenheit, Gegenwart und Zukunft im Bereich der Computersicherheit etwas greifbar zu machen.

Nachfolgende Statistik zeigt auf, wieviele Advisories jährlich in den letzten 20 Jahren (1988 bis 2008) herausgegeben wurden. Es ist zu sehen, wie ab Mitte der 1990er Jahre eine erste konstante Veröffentlichung von Advisories beobachtet werden kann. Diese etabliert sich zunehmends und beginnt offensichtlich gegen Ende des Jahrtausends zu steigen.

Seit 1993 ist pro Jahr eine Verdoppelung der an die Öffentlichkeit getragenen Schwachstellen zu beobachten, wie nachfolgende Tabelle aufzeigt. Dies hat sowohl mit der breitflächigen Nutzung von Computersystemen als auch mit der Etablierung des Internet sowie dem neuerlichen Interesse an Sicherheitslücken in Software zu tun.

Die darauf folgenden Jahre konnte zwar auch weiterhin ein stetiger Anstieg, jedoch nicht mehr in einer derartig überproportionaler Weise beobachtet werden. Auch hier hat die Verbreitung von produktiven Lösungen sowie dem stetigen Interesse an Schwachstellen in diesen beigetragen.

Dieser Anstieg ist bis heute ungebrochen und dürfte sich wohl auch in den kommenden Jahren weiterziehen. Vor allem durch mobile Geräte (Mobiltelefone, PDAs und Netbooks) erschliesst sich hier in breitflächiger Weise ein neuer Bereich für interessante Sicherheitslücken. Einen weiteren Schub der Angriffsfläche und des damit einhergehenden Interesses dürfte die Ausbreitung von vernetzten Systemen im alltäglichen Leben (z.B. in modernen Autos oder digitalen Haushalten) erfahren.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://cve.mitre.org/
• http://osvdb.org/
• http://osvdb.org/osvdb/show_graph/2
• http://secunia.com/advisories/
• http://www.securityfocus.com/bid
• http://www.securitytracker.com/
• https://vuldb.com