Die BSI-Schwachstellenampel für Mängel in Softwareprodukten

Erstellt am 29. April 2012 von Guido Strunck

Verbraucherschützer fordern sie schon länger: Die Ampel aus deren Rot-Gelb-Grün-Schema man leicht nachvollziehen kann, wie es um die Inhaltsstoffe von Lebensmitteln, das Hygieneverständnis von Gastronomen usw. bestellt ist. Und Wirtschaftslobbyisten arbeiteten in der Vergangenheit ebenso vehement wie erfolgreich dagegen an. Die Ampel sei zu einfach, zu grob und überhaupt schade zu viel Transparenz dem Geschäft und würde Verbraucher nur verunsichern.

Währenddessen hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein solches Ampelsystem zur Bewertung von Schwachstellen in verbreiteten Softwareprodukten veröffentlicht. Im Rahmen der sog. „BSI-Analysen zur Cyber-Sicherheit“ soll dieser Ampel-Indikator einen raschen Überblick über Sicherheit und Qualität der so gerateten Softwareprodukte geben. Derzeit werden für die Schwachstellenampel Sicherheitslücken in Produkten dieser Hersteller berücksichtigt:

•    Adobe Systems (Adobe Reader, Adobe Acrobat und Adobe Flash Player)
•    Apple Inc. (OS X, Safari und Quicktime)
•    Google Inc. (Google Chrome)
•    der Linux-Kernel
•    Microsoft Corporation (Windows, Office und Internet Explorer)
•    Mozilla Foundation (Firefox und Thunderbird)
•    Oracle Corporation (Java Development Kit (JDK) und Java Runtime Environment (JRE))

Das BSI ist der wohl zutreffenden Ansicht, dass Mängel in diesen Produkten aufgrund deren weiten Verbreitung in Unternehmen, Behörden sowie bei Privatanwendern potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen können. Die Behörde verfolgt daher u.a. auch den Lebenszyklus von Schwachstellen von der Entdeckung bis zur Beseitigung mit.

Daher bewertet es im Rahmen einer regelmäßig aktualisierten Schwachstellenampel offene Schwachstellen sowie deren Schweregrad auf einer 10er-Skala und visualisiert das entsprechend. Die Schwachstellenampel wird vom BSI regelmäßig aktualisiert. Die Termine der Aktualisierungen orientieren sich dabei hauptsächlich an den Patchdays und Aktualisierungszyklen der Anbieter. Zusätzlich werden Links auf weiterführende Sicherheitshinweise der Hersteller angeboten.

In dieser Form bietet die BSI-Schwachstellenampel einen guten ersten Überblick zur Sicherheits- und Qualitätslage von verbreiteter Standardsoftware. Wobei auffällt, wie gut vor allem quelloffene Open-Source-Produkte wie der Linux-Kernel oder Firefox und Thunderbird abschneiden. In jedem Fall kann so Druck auf die Hersteller entstehen, verstärkt auf die Sicherheit und die generelle Qualität ihrer Softwareprodukte zu achten.


Einsortiert unter:Angriff & Abwehr, Informationssicherheit, Softwarequalität, Technische Regulierung Tagged: Angriff & Abwehr, BSI, Cyber-Abwehr, Exploits, Funktionalität, IT-Grundschutz, IT-Risiken, Open Source, Patches, Produkttest, Qualitätsmanagement, Qualitätsprüfung, Schadcode, Schadsoftware, Schwachstelle, Sicherheitslücken, Software, Softwarequalität, Softwarequalitätssicherung, Softwaretest