Die 19 Todsünden der Software-Security

Untermauert wird der negative Trend durch die aktuelle Statistik des CERT Coordination Center an der Carnegie Mellon Universität. Das CERT meldet in seiner Jahresstatistik der entdeckten und gemeldeten Sicherheitsschwachstellen im vergangenen Jahr einen explosionsartigen Anstieg von Softwarefehlern. Diese hatte sich in den Jahren 2002 bis 2004 zwar noch bei rund 4000 gemeldeten Schwachstellen eingependelt. Im vergangenen Jahr aber nahm die Zahl trotz der verstärkten Bemühungen vieler Hersteller um eine bessere Softwareentwicklung um fast 60 Prozent zu.

Nach Gartner gehen rund 75 Prozent der Sicherheitsvorfälle unmittelbar auf die Anwendungsschicht zurück. Die Botschaft, die John Viega angesichts dieses Zahlenwerks trocken verkündet, gefällt indes nicht jedem Firmenchef: „Weniger als 30 Millionen Dollar sind in den USA im vergangenen Jahr in die Applikationssicherheit gesteckt worden. Das zeigt, dass dort ein sehr niedriges Problembewusstsein herrscht“, bilanziert Viega.

Noch immer ist die IT-Branche von einer sicherheitsintegrierten Softwareentwicklung weit entfernt. Buffer-Overflows sind nach Ansicht von Experten nach wie vor das größte Sicherheitsproblem in der Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Der Weg zu sicherer Software führt indes nur über die Standardisierung und die Einbettung von Sicherheit in den Entwurfsprozess, statt wie bisher die Fehler in der Entwicklung händisch nachzubessern.