Lebenszyklen von Schwachstellen - Prof. Dr. Norbert
Pohlmann
Lebenszyklen von Schwachstellen
Was sind die Lebenszyklen von Schwachstellen?
Schwachstellen in Software durchlaufen verschiedene Lebenszyklen. Die Gefahren und Handlungsempfehlungen zu einer Schwachstelle können in Abhängigkeit von dem aktuellen Zustand ermittelt werden. Der Lebenszyklus beginnt damit, dass eine Schwachstelle in einem Softwareprodukt gefunden wurde. Die größte Gefahr geht von einer gefundenen Schwachstelle aus, wenn diese dem Hersteller und der Öffentlichkeit unbekannt ist und bereits ein Exploit zu der Schwachstelle programmiert wurde, den Angreifer nutzen können. Ein Exploit ist ebenfalls eine Software, die eine Schwachstelle automatisiert ausnutzen kann, um beispielsweise Zugriff auf ein Informationssystem zu erlangen. In diesem speziellen Fall wird von Zero-Day-Exploits gesprochen, also dass Schwachstellen ausgenutzt werden bevor der Hersteller diese kennt oder gefixt hat. Die besondere Gefahr von Zero-Day-Exploits resultiert direkt aus der Unwissenheit und der Tatsache, dass eine Schwachstelle potenziell automatisiert ausgenutzt werden kann. In dem Zeitraum von te bis t0 existieren dementsprechend keine Schutzvorkehrungen oder Handlungsempfehlungen. In diesem Zeitraum sind Zero-Day-Angriffe besonders wirkungsvoll.
Ein schnelles Eliminieren der Schwachstelle durch den Hersteller wird damit verhindert.
Zum Zeitpunkt td wurde der Hersteller einer Software über eine Schwachstelle in seinen Produkten informiert. Diese Information kann ihm unter anderem durch ein Bug-Bounty-Programm mitgeteilt worden sein. Der Hersteller hat nun die Möglichkeit, den entsprechenden Fehler zu beheben und ihn zu veröffentlichen, falls es noch nicht auf anderen Wegen geschehen ist.
Mit der Veröffentlichung einer Schwachstelle wird ein „Common Vulnerabilities and Exposures“ (CVE) Eintrag erstellt. Dieser Eintrag enthält Erklärungen zu der Schwachstelle und Versionshinweise zu der betroffenen Software. Aus diesen Informationen können zum Zeitpunkt t0 zum ersten Mal Schutzvorkehrungen und Handlungsempfehlungen abgeleitet werden. Zu diesem Zeitpunkt ist die Gefahr der Schwachstelle aber noch nicht gebannt, denn mit der Veröffentlichung eines CVE können weitere Angriffe motiviert werden. Der Zeitraum von td bis zur Veröffentlichung einer Fehlerbehebung in tp hängt von vielen verschiedenen Faktoren, wie z.B. der Größe eines Unternehmens, der Komplexität des Fehlers oder wie schwerwiegend eine Schwachstelle ist, ab. Mit der Veröffentlichung eines Patches (erste Form der Reparatur) nimmt die Gefahr einer Schwachstelle drastisch ab. Bis zum Zeitpunkt ta kann die Schwachstelle aber weiterhin von Angreifern ausgenutzt werden, daher sollen die Anwender den vorhandenen Patch sofort einspielen. Es gibt viele Initiativen, den Zeitraum td bis ta so klein wie nur möglich zu halten.
Weitere Informationen zum Begriff “Lebenszyklen von Schwachstellen”:
Lebenszyklen von Schwachstellen spielen eine wichtige Rolle, weil die aktuelle Gefahr und die möglichen Handlungsoptionen davon anhängen. Der Lebenszyklus beginnt mit dem Entdecken einer Schwachstelle und endet, wenn ein passender Patch installiert ist.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Lebenszyklen von Schwachstellen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten