Lebenszyklen von Schwachstellen - Prof. Dr. Norbert Pohlmann

Was sind die Lebenszyklen von Schwachstellen?

Schwachstellen in Software durchlaufen verschiedene Lebenszyklen. Die Gefahren und Handlungsempfehlungen zu einer Schwachstelle können in Abhängigkeit von dem aktuellen Zustand ermittelt werden. Der Lebenszyklus beginnt damit, dass eine Schwachstelle in einem Softwareprodukt gefunden wurde. Die größte Gefahr geht von einer gefundenen Schwachstelle aus, wenn diese dem Hersteller und der Öffentlichkeit unbekannt ist und bereits ein Exploit zu der Schwachstelle programmiert wurde, den Angreifer nutzen können. Ein Exploit ist ebenfalls eine Software, die eine Schwachstelle automatisiert ausnutzen kann, um beispielsweise Zugriff auf ein Informationssystem zu erlangen. In diesem speziellen Fall wird von Zero-Day-Exploits gesprochen, also dass Schwachstellen ausgenutzt werden bevor der Hersteller diese kennt oder gefixt hat. Die besondere Gefahr von Zero-Day-Exploits resultiert direkt aus der Unwissenheit und der Tatsache, dass eine Schwachstelle potenziell automatisiert ausgenutzt werden kann. In dem Zeitraum von t_e bis t₀ existieren dementsprechend keine Schutzvorkehrungen oder Handlungsempfehlungen. In diesem Zeitraum sind Zero-Day-Angriffe besonders wirkungsvoll.

Ein schnelles Eliminieren der Schwachstelle durch den Hersteller wird damit verhindert.

Zum Zeitpunkt t_d wurde der Hersteller einer Software über eine Schwachstelle in seinen Produkten informiert. Diese Information kann ihm unter anderem durch ein Bug-Bounty-Programm mitgeteilt worden sein. Der Hersteller hat nun die Möglichkeit, den entsprechenden Fehler zu beheben und ihn zu veröffentlichen, falls es noch nicht auf anderen Wegen geschehen ist.

Mit der Veröffentlichung einer Schwachstelle wird ein „Common Vulnerabilities and Exposures“ (CVE) Eintrag erstellt. Dieser Eintrag enthält Erklärungen zu der Schwachstelle und Versionshinweise zu der betroffenen Software. Aus diesen Informationen können zum Zeitpunkt t₀ zum ersten Mal Schutzvorkehrungen und Handlungsempfehlungen abgeleitet werden. Zu diesem Zeitpunkt ist die Gefahr der Schwachstelle aber noch nicht gebannt, denn mit der Veröffentlichung eines CVE können weitere Angriffe motiviert werden. Der Zeitraum von t_d bis zur Veröffentlichung einer Fehlerbehebung in t_p hängt von vielen verschiedenen Faktoren, wie z.B. der Größe eines Unternehmens, der Komplexität des Fehlers oder wie schwerwiegend eine Schwachstelle ist, ab. Mit der Veröffentlichung eines Patches (erste Form der Reparatur) nimmt die Gefahr einer Schwachstelle drastisch ab. Bis zum Zeitpunkt t_a kann die Schwachstelle aber weiterhin von Angreifern ausgenutzt werden, daher sollen die Anwender den vorhandenen Patch sofort einspielen. Es gibt viele Initiativen, den Zeitraum t_d bis t_a so klein wie nur möglich zu halten.

Weitere Informationen zum Begriff “Lebenszyklen von Schwachstellen”:

„securityNews – ein Informationsdienst für IT-Sicherheit: App goes Security“

„Die Kunst des weißen Hackens – Ziele, Methoden und Praxis bei Penetrationstests“

„Cyber Security – 10 aktuelle Problemfelder: Problembewusstsein muss zunächst entwickelt werden!“

„Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“

„Kommunikationslage im Blick – Gefahr erkannt, Gefahr gebannt“

„Bugs, die Nahrung für Malware – Von guter, schlechter und böser Software“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Sicherheit und Vertrauenswürdigkeit von KI-Systemen“

„Cyber-Sicherheit braucht Künstliche Intelligenz – keine Künstliche Intelligenz ohne Cyber-Sicherheit“

„Innovative Answers to the IoT Security Challenges“

„Künstliche Intelligenz und die Internetwirtschaft“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Lebenszyklen von Schwachstellen

Description

Lebenszyklen von Schwachstellen spielen eine wichtige Rolle, weil die aktuelle Gefahr und die möglichen Handlungsoptionen davon anhängen. Der Lebenszyklus beginnt mit dem Entdecken einer Schwachstelle und endet, wenn ein passender Patch installiert ist.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo