2525231

So schätzen Sie die Gefahr durch Sicherheitslücken richtig ein

22.09.2020 | 13:01 Uhr | Arne Arnold

Am Beispiel von Microsoft stellen wir dar, wie Softwarehersteller Sicherheitslücken einstufen, damit User Gefahren einschätzen können.

Jede Software kann einen Fehler haben. Die sogenannten Bugs verursachen Programmabstürze, unerwünschte Ergebnisse und auch Sicherheitslücken. Wie schwerwiegend diese Sicherheitslücken sind, entscheidet mit drüber, wie dringend Sie einen Bug beseitigen müssen. Damit alle betroffenen Softwarenutzer und -entwickler einen Eindruck davon bekommen, wie gravierend eine Sicherheitslücke ist, nehmen involvierte Sicherheitsfirmen in den meisten Fällen eine genaue Einstufung vor.

Das System ist auf den ersten Blick simpel: Die Einstufung reicht von „keine“ oder „gering“ bis hin zu „kritisch“. 

Für Privatanwender ist es im Grunde einfach, die Bewertungen richtig einzuschätzen: Bei „kritisch“ muss gehandelt werden, bei Stufen darunter sollte man handeln. Es lohnt sich allerdings, die Schweregrade genauer zu kennen. Wir stellen hier die Beschreibungen von Microsoft vor. Microsoft stuft seine Sicherheitslücke so ein: kritisch, wichtig, mittel und gering. Diese Angaben beziehen sich auf den Schweregrad einer Lücke, also darauf, wie dramatisch die Auswirkungen eines möglichen Angriffs sein können. Auf der Microsoft-Seite werden die Grade so beschrieben: 

Kritisch: Hierbei handelt es sich um ein Sicherheitsrisiko, bei dessen Ausnutzung Code ohne Benutzerinteraktion ausgeführt werden könnte. Dieses ist beispielsweise bei sich selbstständig verbreitender Schadsoftware gegeben, bei denen Code ohne Warnungen oder Eingabeaufforderungen ausgeführt werden kann. Darunter kann das Aufrufen einer Webseite oder das Öffnen einer Mailnachricht fallen. 

Microsoft empfiehlt, kritische Updates sofort einzuspielen. 

Wichtig: Hierbei handelt es sich um ein Sicherheitsrisiko, dessen Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten oder die Integrität oder Verfügbarkeit von Verarbeitungsressourcen gefährden kann. Meist lässt sich die Lücke nur ausnutzen, wenn der Anwender dem Angreifer oder dem angreifenden Schadcode hilft, etwa indem er Warnungen oder Meldungen ignoriert (per Klick bestätigt). 

Microsoft empfiehlt Kunden, wichtige Updates so früh wie möglich anzuwenden. 

Mittel: Die Auswirkung des Sicherheitsrisikos wird durch Faktoren wie Authentifizierungsanforderungen erheblich verringert. Die Sicherheitslücke ist nur dann ausnutzbar, wenn die Konfiguration erheblich vom Standard abweicht und zum Beispiel in Richtung schwache Authentifizierungsanforderungen verringert wurde. Microsoft empfiehlt Kunden dennoch, diese Sicherheitsupdates anzuwenden. 

Niedrig: Die Auswirkung des Sicherheitsrisikos wird durch die Eigenschaften der betroffenen Komponente erheblich verringert. 

Microsoft empfiehlt Kunden, abzuwägen, ob das Sicherheitsupdate auf die betroffenen Systeme angewendet werden soll. 

Die Bedeutung dieser Sicherheitslücke in Windows wird über alle Plattformen hinweg als wichtig („Important“) eingestuft. Weitere Infos gibt es über die „Article“-ID
Vergrößern Die Bedeutung dieser Sicherheitslücke in Windows wird über alle Plattformen hinweg als wichtig („Important“) eingestuft. Weitere Infos gibt es über die „Article“-ID

Schweregrad und Risiko: Bei der Einordnung von Sicherheitslücken unterscheiden die Sicherheitsforscher von Microsoft zwischen dem Schweregrad einer Lücke und dem Risiko, das diese ausgenutzt wird. Darum klingt zum Beispiel auch die Beschreibung „Auswirkung des Sicherheitsrisikos…“ beim Schweregrad „niedrig“ etwas verschwurbelt. 

Wie wahrscheinlich es dagegen ist, dass eine Lücke ausgenutzt wird, hängt wesentlich davon ab, ob bereits Exploit-Code für die Lücke existiert. Darum hat Microsoft zusätzlich den „Exploitability Index“ eingeführt. Er reicht von 0 bis 3: 

0: Exploit-Code existiert 

1: Ein Ausnutzen der Lücke ist eher wahrscheinlich 

2: Ein Ausnutzen der Lücke ist weniger wahrscheinlich 

3: Ein Ausnutzen der Lücke ist unwahrscheinlich 

Weitere Infos zu diesem weniger bekanntem Index finden Sie hier.  

Informationen zu Sicherheitslücken in Microsoft-Software finden Sie in dem Security Update Guide von Microsoft. Dort sind alle bekannten Sicherheitslücken des Herstellers aufgeführt. Ein Klick auf die angezeigte CVE-Nummer liefert die Details zu einer Lücke; dort wird unter „Severity“ auch ihr Schweregrad angegeben.

Tipp:   WLAN-Schwachstellen ermitteln und beheben

PC-WELT Marktplatz

2525231