Die 19 Todsünden der Software-Security

Untermauert wird der negative Trend durch die aktuelle Statistik des CERT Coordination Center an der Carnegie Mellon Universität. Das CERT meldet in seiner Jahresstatistik der entdeckten und gemeldeten Sicherheitsschwachstellen im vergangenen Jahr einen explosionsartigen Anstieg von Softwarefehlern. Diese hatte sich in den Jahren 2002 bis 2004 zwar noch bei rund 4000 gemeldeten Schwachstellen eingependelt. Im vergangenen Jahr aber nahm die Zahl trotz der verstärkten Bemühungen vieler Hersteller um eine bessere Softwareentwicklung um fast 60 Prozent zu.

Nach Gartner gehen rund 75 Prozent der Sicherheitsvorfälle unmittelbar auf die Anwendungsschicht zurück. Die Botschaft, die John Viega angesichts dieses Zahlenwerks trocken verkündet, gefällt indes nicht jedem Firmenchef: „Weniger als 30 Millionen Dollar sind in den USA im vergangenen Jahr in die Applikationssicherheit gesteckt worden. Das zeigt, dass dort ein sehr niedriges Problembewusstsein herrscht“, bilanziert Viega.

Noch immer ist die IT-Branche von einer sicherheitsintegrierten Softwareentwicklung weit entfernt. Buffer-Overflows sind nach Ansicht von Experten nach wie vor das größte Sicherheitsproblem in der Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Der Weg zu sicherer Software führt indes nur über die Standardisierung und die Einbettung von Sicherheit in den Entwurfsprozess, statt wie bisher die Fehler in der Entwicklung händisch nachzubessern.

Themenseiten: IT-Business, Security-Analysen, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Die 19 Todsünden der Software-Security

Kommentar hinzufügen
  • Am 3. Mai 2006 um 6:19 von iNsuRRecTiON

    IT-Sicherheit und Fraunhofer !=seriös ! :(
    "Wer Klarheit über die Qualität seiner Software haben möchte, kann sie im Testlabor IT-Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie (www.sit.fraunhofer.de) bekommen. Die Experten untersuchen herstellerneutral und produktunabhängig Entwürfe, Prototypen und Produkte in allen Entwicklungsstadien auf Sicherheitslücken."

    Hey,

    dem würde ich allerdings nicht vertrauen, denn diese haben mit ihrem Sicherheitstests für Verschlüsselungssoftware, welche sogar als Referenz angegeben ist, sich einen groben Fehler geleistet und sich bis heute weder dazu geäußert noch irgendetwas zugegeben..!

    Um genauer zu werden ging es um die Full Volume bzw. Komplettverschlüsselungsoftware CompuSec von ce-infosys. (http://www.ce-infosys.com )

    Diese wird als Freeware angeboten und verschlüsselt die komplette Festplatte inklusive dem Betriebssystem und Auslagerungsdatei, etc.

    Angeblich sollte/soll diese Software den Masterkey, laut der Fraunhofer Analyse bzw. Ergebnis, frei im Klartext lesbar in der Registry ablegen..

    Was jedoch überhaupt nicht der Wahrheit entspricht.
    Es wird lediglich ein Hash dort abgelegt, welcher aber weder im Klartext lesbar ist noch Rückschlüsse auf den Masterkey für die Verschlüssel- bzw. Entschlüsselung zulässt!

    Da sieht man die "Qualität" der Fraunhofer Analyse..

    Wer sich trotzdem auf sowas unseriöses verlassen möchte, der hat es nicht anders verdient..!

    MfG
    CYA

    iNsuRRecTiON

    • Am 28. Juli 2006 um 21:55 von Gulliver

      AW: IT-Sicherheit und Fraunhofer !=seriös ! :(
      Stehst Du auf deren Gehaltsliste? Wir konnten die entsprechenden PWs jedenfalls im KLARTEXT auslesen (nix Hash!).
      Soviel dazu…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *