Die Entwicklung von Software unter Einhaltung von strengen Sicherheitsstandards stellt Unternehmen vor ein Problem: Eigentlich müsste die Integration von Security von zwei Seiten her erfolgen, durch Standardisierung von unten und durch die frühzeitige Integration der IT-Sicherheit in die Entwicklungsprozesse von oben.
Seitens der Hersteller gibt es zwar eine ganze Reihe von Standardisierungsinitiativen, etwa die Oasis Web Services Security oder die Trusted Computing Group. Derartige Vorhaben sind jedoch nicht mehr als ein Tropfen auf den heißen Stein, um durch sichere Anwendungsentwicklung tatsächlich zu besseren Softwareprodukten zu gelangen. Schaut man dann in die alltägliche Praxis hinein, so ist der Graben noch tiefer. Buffer Overflows sind immer noch das größte Sicherheitsproblem in Software, obwohl jedem Informatiker klar ist, wie man sie vermeidet. Es gibt unzählige Baustellen von Browser- und Kernel-Bugs bis hin zu Problemen in Datenbanken wie der von Oracle.
Einfache Angriffstechniken zeigen die Defizite
So startete im November 2006 die Kampagne „Monat der Kernel-Bugs“ unter Federführung des Metasploit-Projekts, in der Tester unterschiedliche Betriebssysteme genauer unter die Lupe nahmen. Im Laufe des Projekts fand sich jeden Tag auf der Webseite ein neuer Kernel-Bug, der mit Hilfe von „Black-Box-Testing“ aufgezeigt wurde. Sogar mit veralteten Methoden wie „Fuzzing„, dem Füttern von Anwendungen mit automatisch erzeugten und pseudo-zufälligen Eingaben, ließen sich gravierende Fehler in den Betriebssystem-Kernen finden.
Fuzzing bringt natürlich zunächst eher triviale Fehler hervor. Es braucht aber kaum Fantasie, um anschließend den Gütegrad der jeweiligen Anwendungen generell in Frage zu stellen. Offenbar haben viele Softwarehersteller nach wie vor erheblichen Nachholbedarf in der Softwarequalität. „Die Entwicklung sicherer Software als Vision zu formulieren, ist ohnehin problematisch, denn Sicherheit ist ja kein Selbstzweck“, sagt Professor Christoph Meinel, Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) in Potsdam.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…