![[Diagramm]](07-5-032-1.jpg)
Abbildung 1: "Reifegrad" von Schwachstellen zum Zeitpunkt ihres Bekanntwerdens
Unabhängig davon, in welchem Format und über welchen Kommunikationskanal Sicherheits-Meldungen verteilt werden, kommt neben der verständlichen Darstellung der technischen Details die größte Bedeutung der Bewertung der Risiken zu. Eines der wichtigsten Kriterien besagt, wie wahrscheinlich ein Angriff über die jeweilige Sicherheitslücke ist. Schließlich ist es ein erheblicher Unterschied, ob eine Sicherheitslücke nur bekannt ist oder ob ein entsprechendes Angriffswerkzeug dafür bereits frei im Internet kursiert.
Abbildung 1 zeigt deutlich, dass sich nach wie vor die Mehrzahl der Sicherheitslücken noch im Stadium der "Demonstration" befindet, wenn bereits vor ihnen gewarnt wird. Das heißt: Eine Automatisierung oder frei verfügbare Angriffswerkzeuge sind bis dahin noch nicht entdeckt oder beobachtet worden. Es wird allerdings auch sichtbar, dass sich zwar seit Mitte 2004 mit etwa 70 Sicherheitsmeldungen pro Monat diese Zahl in etwa verdoppelt hat, sie sich aber im Prinzip seit Mitte 2005 nur wenig beziehungsweise sehr langsam verändert – abgesehen von "Ausreißer"-Monaten (etwa Juni 2007), in denen sehr viele Meldungen herausgingen.
Abbildung 1: "Reifegrad" von Schwachstellen zum Zeitpunkt ihres Bekanntwerdens
Dabei ist es weniger die Zahl aller bekannten Sicherheitslücken insgesamt, die zu diesem nur sehr langsamen Anstieg führt: Vielmehr reflektiert das die Einschätzung, wie viele Meldungen notwendig erscheinen, um für eine möglichst umfassende Information der betreuten Zielgruppen aufbereitet zu werden. Allerdings ist trotz dieses langsamen Wachstums der Druck groß, sich mit immer neuen Advisories zu beschäftigen.
Ein zweiter wichtiger Faktor für die Risikoeinstufung sind die Voraussetzungen, die erfüllt sein müssen, damit sich eine Schwachstelle ausnutzen lässt. Vor 20 Monaten machten drei Kategorien zusammen über 85 % aller Meldungen aus:
Die Erfahrung hat allerdings gelehrt, dass diese dritte Kategorie immer mehr an Bedeutung gewinnt und differenzierter betrachtet werden muss. Sie wurde daher aufgeteilt: Herausgezogen wurden Sicherheitslücken, die bereits ohne Wissen oder Zutun eines Benutzers auszunutzen sind, wenn dieser mit einem verwundbaren Programm arbeitet, also beispielsweise im Internet sucht oder E-Mails liest.
Diese Kategorie "Benutzerinteraktion" zeigt, wenn man alle Sicherheitsmeldungen entsprechend nachklassifiziert und für jeweils 12 Monate aufaddiert, über die Jahre eine gleichbleibend hohe Bedeutung. Zusammen mit den anonymen Netzwerkzugriffen stellt sie die klare Mehrheit aller behandelten Sicherheitslücken (vgl. Abb. 2). Die Bedeutung der letzteren steigt dabei stetig an und dürfte aller Voraussicht nach 2008 auf Rang 1 klettern.
![[Diagramm]](07-5-032-2.jpg)
Abbildung 2: Voraussetzungen zum Ausnutzen einer Schwachstelle
Diese zunehmende Bedeutung zeigt sich auch in der stark gestiegenen Anzahl von Sicherheitsmeldungen, die direkt Client-Systeme und deren Software betreffen. Hinsichtlich der Bedeutung sowie der abgeschätzten Risiken durch das Ausnutzen von Schwachstellen liegen Server und Clients mittlerweile fast gleichauf. Die Kategorie "andere", in die übergreifende Schnittstellen und damit auch Software-Bibliotheken et cetera eingestuft werden, hat ebenfalls stark an Bedeutung gewonnen und übertrifft inzwischen sogar die Zahl der Meldungen für die Kategorie "Server" (vgl. Abb 3).
![[Diagramm]](07-5-032-3.jpg)
Abbildung 3: Gegenüberstellung von Angriffs-Zielen und Dringlichkeit
Bei der zusammenfassenden Gesamtbewertung der Dringlichkeit, also der Frage, welche Priorität die Einleitung von Gegenmaßnahmen hat, ergibt sich ein relativ unverändertes Bild. Dabei zeichnet sich jedoch ein langsamer Anstieg der als "sehr hoch" oder "hoch" eingestuften Advisories ab, was besonders deutlich wird, wenn man sich die Summe der einzelnen Kategorien pro Jahr anschaut (Abb. 4).
![[Diagramm]](07-5-032-4.jpg)
Abbildung 4: Dringlichkeit von Schwachstellen
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski (![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERT in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
Zusammenfassend kann zwar keine Entwarnung gegeben werden – es gibt aber auch keinen Grund zur Panikmache. Die Arbeitslast bleibt weitgehend unverändert hoch und damit liegt der Schlüssel zum Erfolg vor allem in geeigneten Prozessen vor Ort, die helfen schnell richtige Entscheidungen zu treffen und Sicherheitslücken zu patchen, bevor sie ausgenutzt werden können.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 32
tag:kes.info,2007:art:2007-5-032
| 