Hände tippen auf einer Laptop-Tastatur
Bild © picture-alliance/dpa

Schwachstellen in Software sind ein Sicherheitsrisiko für den Anwender. Über 700 davon hat das BSI im vergangenen Jahr in den am weitesten verbreiteten Programmen gefunden. Wir erklären, wie es zu solchen Fehlern kommt und was Nutzer beachten sollten.

728 kritische Schwachstellen in den zehn am weitesten verbreiteten Software-Programmen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2018 registriert. Dazu zählen etwa Windows, Google Chrome, Mozilla Firefox und Microsoft Office. Software also, die fast jeder nutzt. Die gute Nachricht: Die Zahl der entdeckten Schwachstellen in diesen Massenprogrammen geht zurück. Die schlechte Nachricht: Die gefundene Anzahl der Schwachstellen ist nur die Spitze des Eisbergs.

Audiobeitrag

Podcast

Zum Artikel Wenn Computer-Software zu Angriffen einlädt - alle Beiträge zum Nachhören

Ende des Audiobeitrags

Die Dunkelziffer der unbekannten und potenziell gefährlichen Schwachstellen ist viel höher. Genau solche Schwachstellen sind für Angreifer wichtige Einfallstore, sagt David Fuhr von dem Berliner IT-Sicherheitsunternehmen HiSOlutions. Andere Angriffspunkte seien menschliche Fehler wie zum Beispiel das Öffnen einer E-Mail mit einem Schadprogramm oder eine falsche Bedienung.

Unterschiedlich gefährlich

Nicht alle Schwachstellen in der Software sind gleich gefährlich. Mal kann ein Angreifer mit ihrer Hilfe ein Programm abschießen - also funktinonsunfähig machen -, mal helfen sie beim Datendiebstahl. Am gefährlichsten ist die dritte Kategorie, erklärt Fuhr: Schwachstellen, die es einem Angreifer ermöglichen, Kontrolle zu übernehmen und dem Nutzer zu schaden, indem er etwa Datenbanken löscht oder andere Rechner angreift.

Dabei ist eine Schwachstelle zunächst mal nur eine Gelegenheit, wie ein angelehntes Fenster. Um diese Gelegenheit zum Einbruch zu nutzen, braucht ein Angreifer noch ein Werkzeug - ein sogenanntes "Exploit". Diese Werkzeuge können in Hackerkreisen viel Geld wert sein, vor allem, wenn sie eine Schwachstelle nutzen, die noch völlig unbekannt ist. Das nennt man einen "Zero Day Exploit". Und die seien "gelinde gesagt richtig, richtig teuer", sagt Udo Schneider von der Cybersicherheitsfirma Trend-Mirco. Wenn man etwa einen "Zero Day Exploit" in Windows finde, "der auf allen Windows-Versionen funktioniert und keine User-Interaktion benötigt, sind Sie durchaus im Tausend-, Hunderttausend-, teilweise Millionen-Bereich".

Sicherheit spielt bei Entwicklung oft keine große Rolle

Aber warum gibt es eigentlich so viele Schwachstellen? Fuhr von HiSolutions meint, Fehler seien zum einen fast zwangsläufig, weil die Entwicklung und der Einsatz von Software so komplex ist. Zum anderen spiele Sicherheit bei der Software-Entwicklung aber auch oft keine große Rolle: "Kurzfristig muss man was hinbekommen, es gibt eine Deadline und ein begrenztes Budget, und dann ist es manchmal einfacher, das irgendwie hinzustrecken, dass es funktioniert", sagt Fuhr. "Denn man möchte ja auch mit den neuen Features und Funktionen auch möglichst schnell herauskommen, um den entsprechenden Marktanteil nicht zu verpassen."

Fuhr sieht hier allerdings langsam ein Umdenken. Aber nicht nur die Hersteller sind gefordert, sondern auch die Nutzer. Grundsätzlich sollte man immer die neueste Version eines Programms verwenden. Denn je älter eine Software ist, desto länger haben Hacker und Angreifer schon Zeit gehabt, Schwachstellen auszuspähen und diese für einen Einbruch zu nutzen. 

Sendung: hr-iNFO, 17.4.2019, 6:10 Uhr

Jetzt im Programm