![[Illustration]](06-2-076-1.jpg)
Abbildung 1: Für die Mehrzahl von Schwachstellen liegen weiterhin keine automatisierten Angriffswerkzeuge vor, allerdings steigt deren Anteil überproportional schnell.
Ausgangspunkt der vorliegenden Auswertung waren 2800 Sicherheitsmeldungen, die das DFN-CERT von April 2004 bis März 2006 herausgegeben hat. Neben einer Darstellung der zum Verständnis notwendigen technischen Details kommt in diesen Advisories der Bewertung der Risiken die größte Bedeutung zu. Im deutschen CERT-Verbund wurden dazu bereits vielfältige Begriffsbestimmungen vereinbart (vgl. <kes> 2004#5, S. 68). Eines dieser Kriterien beschäftigt sich mit dem Potenzial einer Schwachstelle für die tatsächliche Ausnutzbarkeit: Es ist schließlich ein erheblicher Unterschied, ob eine Lücke lediglich bekannt ist oder ob auch ein Angriffswerkzeug (Exploit) dafür kursiert.
Abbildung 1: Für die Mehrzahl von Schwachstellen liegen weiterhin keine automatisierten Angriffswerkzeuge vor, allerdings steigt deren Anteil überproportional schnell.
Abbildung 1 zeigt deutlich, dass die Mehrzahl der Schwachstellen sich im Stadium der "Demonstration" befindet, also keine Automatisierung oder frei verfügbaren Angriffswerkzeuge entwickelt wurden. Allerdings ist die Gesamtzahl der Meldungen pro Monat im Betrachtungszeitraum fast auf das Doppelte angestiegen; allein diese Masse stellt eine immer größer werdende Herausforderung dar. Noch bedenklicher ist jedoch, dass der Anteil der Meldungen, bei denen bereits ein Exploit existiert oder sogar frei im Internet verfügbar ist, überproportional gestiegen ist. Hierfür ist als Hauptgrund der Trend zur automatisierten Ableitung von Angriffswerkzeugen anzunehmen.
Ein anderer wichtiger Beurteilungs-Faktor sind die Voraussetzungen, die erfüllt sein müssen, damit eine Schwachstelle beim Opfer ausgenutzt werden kann. Hier haben die folgenden drei Möglichkeiten mit über 85 % der Gesamtmenge die größte Bedeutung:
![[Illustration]](06-2-076-2.jpg)
Abbildung 2: Angriffe unter Ausnutzung lokalen Zugriffs oder der Rechte legitimer Benutzer haben seit Ende 2004 deutlich an Bedeutung gewonnen.
Das Letzgenannte ist erst seit etwa zwei Jahren in der Praxis relevant, hat aber inzwischen eine genauso große Bedeutung wie der traditionell gefährliche anonyme Zugriff erlangt (s. Abb. 2). Zukünftig dürfte diese Kategorie noch wichtiger werden und stellt damit die Benutzer – und gleichzeitig ihre Ausbildung sowie die Absicherung ihrer Desktop-PCs – in den Mittelpunkt der Anstrengungen.
![[Illustration]](06-2-076-3.jpg)
Abbildung 3: Schwachstellen haben mittlerweile summa summarum bei Clients denselben Gefährdungsgrad wie bei Servern erreicht.
Diese zunehmende Bedeutung der Endanwender(-systeme) zeigt sich auch in der stark gestiegenen Anzahl von Sicherheitsmeldungen, die Clients und ihre Software direkt betreffen (vgl. Abb. 3). Hinsichtlich der Bedeutung sowie der geschätzten Risiken durch die Ausnutzung der Schwachstellen liegen nunmehr Server und Clients gleichauf, wenn man die abschließende Beurteilung heranzieht.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski (![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 76
| 