slider

Lebenszyklen von Schwachstellen - Prof. Dr. Norbert Pohlmann

Lebenszyklen von Schwachstellen

Lebenszyklen von Schwachstellen - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Schwachstellen in Software durchlaufen verschiedene Lebenszyklen. Die Gefahren und Handlungsempfehlungen zu einer Schwachstelle können in Abhängigkeit von dem aktuellen Zustand ermittelt werden. Der Lebenszyklus beginnt damit, dass eine Schwachstelle in einem Softwareprodukt gefunden wurde. Die größte Gefahr geht von einer gefundenen Schwachstelle aus, wenn diese dem Hersteller und der Öffentlichkeit unbekannt ist und bereits ein Exploit zu der Schwachstelle programmiert wurde, den Angreifer nutzen können. Ein Exploit ist ebenfalls eine Software, die eine Schwachstelle automatisiert ausnutzen kann, um beispielsweise Zugriff auf ein Informationssystem zu erlangen. In diesem speziellen Fall wird von Zero-Day-Exploits gesprochen, also dass Schwachstellen ausgenutzt werden bevor der Hersteller diese kennt oder gefixt hat. Die besondere Gefahr von Zero-Day-Exploits resultiert direkt aus der Unwissenheit und der Tatsache, dass eine Schwachstelle potenziell automatisiert ausgenutzt werden kann. In dem Zeitraum von te bis t0 existieren dementsprechend keine Schutzvorkehrungen oder Handlungsempfehlungen. In diesem Zeitraum sind Zero-Day-Angriffe besonders wirkungsvoll.

Ein schnelles Eliminieren der Schwachstelle durch den Hersteller wird damit verhindert.

Zum Zeitpunkt td wurde der Hersteller einer Software über eine Schwachstelle in seinen Produkten informiert. Diese Information kann ihm unter anderem durch ein Bug-Bounty-Programm mitgeteilt worden sein. Der Hersteller hat nun die Möglichkeit, den entsprechenden Fehler zu beheben und ihn zu veröffentlichen, falls es noch nicht auf anderen Wegen geschehen ist.

Mit der Veröffentlichung einer Schwachstelle wird ein „Common Vulnerabilities and Exposures“ (CVE) Eintrag erstellt. Dieser Eintrag enthält Erklärungen zu der Schwachstelle und Versionshinweise zu der betroffenen Software. Aus diesen Informationen können zum Zeitpunkt t0 zum ersten Mal Schutzvorkehrungen und Handlungsempfehlungen abgeleitet werden. Zu diesem Zeitpunkt ist die Gefahr der Schwachstelle aber noch nicht gebannt, denn mit der Veröffentlichung eines CVE können weitere Angriffe motiviert werden. Der Zeitraum von td bis zur Veröffentlichung einer Fehlerbehebung in tp hängt von vielen verschiedenen Faktoren, wie z.B. der Größe eines Unternehmens, der Komplexität des Fehlers oder wie schwerwiegend eine Schwachstelle ist, ab. Mit der Veröffentlichung eines Patches (erste Form der Reparatur) nimmt die Gefahr einer Schwachstelle drastisch ab. Bis zum Zeitpunkt ta kann die Schwachstelle aber weiterhin von Angreifern ausgenutzt werden, daher sollen die Anwender den vorhandenen Patch sofort einspielen. Es gibt viele Initiativen, den Zeitraum td bis ta so klein wie nur möglich zu halten.


Weitere Informationen zum Begriff “Lebenszyklen von Schwachstellen”:

Artikel:
“Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen”

“Bugs, die Nahrung für Malware – Von guter, schlechter und böser Software”

Vorlesung: „Lehrbuch Cyber-Sicherheit”

Buch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Lebenszyklen von Schwachstellen - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Lebenszyklen von Schwachstellen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten