Softwareentwicklung

Warum regelmäßige Updates vor Sicherheitslücken und sogar Geldstrafen schützen

Autor dieses Artikels ist Lauritz Holtmann. Lauritz ist Berater zum Thema IT-Sicherheit und unterstützt Unternehmen beim Finden und Beheben von Sicherheitslücken.

Inhalt des Artikels

Schwachstellen deines Systems könnten öffentlich einsehbar sein

Der Super-GAU: Die eigene Webseite wird gehackt, Kundendaten fließen ab und das, obwohl der eigene Code keine Sicherheitslücken aufweist. Was klingt wie eine Utopie, ist tatsächlich leider gar nicht so unwahrscheinlich. In vielen Fällen geschieht dies durch bekannte Schwachstellen, welche sogar bereits eine CVE-ID (Common Vulnerabilities and Exposures) zugeordnet haben. Dies ist ein standardisiertes Format zur Identifizierung und Beschreibung von Sicherheitslücken in Software und Hardware. CVEs helfen Sicherheitsforschern, IT-Profis und Softwareherstellern, Informationen über Sicherheitslücken klar und konsistent auszutauschen.

Diese Informationen werden veröffentlicht, was auf den ersten Blick sehr gefährlich wirkt, in der Realität aber maßgeblich dazu beiträgt, dass alle betroffenen Parteien – einschließlich Softwarehersteller, Systemadministratoren und Endbenutzer – möglichst schnell über die Schwachstellen informiert werden und reagieren können.

Diese Ankündigungen sind aber natürlich auch für bösartige Akteur*innen einsehbar. Bekannte Schwachstellen gehören zu den größten Bedrohungen für Webanwendungen und sind seit 2013 fester Bestandteil des OWASP TOP10 Rankings, welches mit regelmäßigen Aktualisierungen Aufschluss über verbreitete Schwachstellen und Risiken für Webanwendungen gibt.

Ausnutzung von Schwachstellen durch Reverse Engineering

Oft sind Informationen zum Ausnutzen der Schwachstelle bereits kurz nach Veröffentlichung der CVEs und des Updates verfügbar. Teilweise, weil Hersteller selbst Informationen zur Natur des Updates preisgeben. Je schwerwiegender die Schwachstelle und verbreiteter die Software ist, desto größer ist auch die Wahrscheinlichkeit, dass bösartige Akteur*innen durch Analyse des Updates selbst Rückschlüsse ziehen und die Schwachstelle ihrerseits identifizieren und ausnutzen können. 

Das Veröffentlichen sogenannter „Exploits“ (Code der eine Schwachstelle ausnutzt) ermöglichen es auch technisch wenig versierten Akteur*innen Angriffe durchzuführen und Schaden herbeizuführen. Exploits lassen sich bereits durch einfache Google-Anfragen finden. Unter den ersten Suchergebnissen finden sich einfache Skripte, die das Ausnutzen der Schwachstelle ohne tieferes Verständnis ermöglichen.

Hinweis: Das Ausnutzen von Sicherheitslücken in fremden Systemen ist laut § 202a StGB verboten und strafbar!

Google-Suche für einen Exploit zu einem CVE

Fast jede bekannte Software ist betroffen

Stand Anfang Dezember 2023 wurden insgesamt 232.466 CVEs für bekannte Schwachstellen vergeben. Insgesamt wurden hierbei über 130.000 Schwachstellen als HIGH oder CRITICAL eingestuft (kombiniert in alter v2- und neuer v3-Metrik). Diese haben also potenziell schwerwiegende Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der in den Anwendungen verarbeiteten Daten.

Daten aus der National Vulnerability Database

Allein im Jahr 2023 wurden durch CVEs 30.000 zuvor unbekannte Schwachstellen öffentlich kommuniziert. Natürlich sind davon auch Software-Komponenten betroffen, die wir einsetzen. Beispielsweise betrifft das TYPO3 (14 CVEs), Laravel (11 CVEs) und Keycloak (10 CVEs).

Regelmäßige Updates als effektive Maßnahme

Auch wenn der Zugewinn an Sicherheit auf den ersten Blick nicht sichtbar ist, so ist der Effekt alles andere als vernachlässigbar. Öffentlich bekannte und dokumentierte Schwachstellen können oft von Angreifer*innen ohne technischen Sachverstand trivial ausgenutzt werden. Der Abfluss von Kundendaten und sensiblen Informationen kann zu erheblichem Reputationsverlust oder möglicherweise gar zu empfindlichen Strafen durch Regulierungsbehörden führen.

Ist ein Unternehmen etwa nach PCI-DSS zertifiziert, so müssen bekannte kritische Schwachstellen innerhalb eines Monats behoben werden. Dies kann das Einspielen von Updates sowie mitigierende Maßnahmen beinhalten. Auch der BSI IT-Grundschutz sieht vor, dass Schwachstellen zeitnah adressiert werden sollen. Je kritischer die Verwundbarkeit, desto zeitnaher sollte ein entsprechender Patch eingespielt werden.

Wir setzen bei der Konzeption und Umsetzung auf Industriestandards und moderne Frameworks wie Laravel, TYPO3 und Keycloak. Das Framework Laravel ermöglicht uns hierbei beispielsweise, eingebaute Sicherheitsfunktionen zu verwenden und so automatisch sicherere Software zu bauen. Hierbei ist Laravel aber selbst natürlich auch nicht gänzlich frei von Fehlern und Sicherheitslücken. Als Open-Source-Anwendung werden diese von Menschen aus aller Welt und kontinuierlich aufgedeckt und sukzessive geschlossen – für uns bedeutet dies die Notwendigkeit des regelmäßigen Einspielens von Updates und Patches.

Passende Lösung zu diesem Artikel

Mehr erfahren