VERANSTALTUNGEN

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

ELO Solution Day - Stuttgart
18.10.18 - 18.10.18
In Kornwestheim (bei Stuttgart)

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

Julian TotzekGoogle-Forscher haben schwerwiegende Sicherheitslücken in den Sicherheitsprogrammen von Symantec und Norton aufgedeckt. Millionen von Privatkunden und Unternehmen sind hiervon betroffen, denn Angreifer könnten den kompletten Rechner übernehmen. Bisher wurden die Schwachstellen noch nicht behoben. Ein Kommentar von Julian Totzek-Hallhuber, Solution Architect bei Veracode.

Wie es immer wieder zu solchen Lücken – gerade in Sicherheitssoftware – kommen kann und was Anbieter in der Entwicklung berücksichtigen sollten, erklärt im Folgenden Julian Totzek-Hallhuber, Solution Architect beim Anwendungssicherheits-Spezialisten Veracode:
„Die schwerwiegenden Schwachstellen, die in den Sicherheitsprogrammen von Symantec und Norton entdeckt wurden, sind für uns keine Überraschung – denn bereits unser Report aus dem Jahre 2011 zeigt, dass gerade Sicherheitssoftware sehr schlecht beim Thema Anwendungssicherheit abschneidet. Mit 72 Prozent steht die Sicherheitssoftware auf Platz 2 der anfälligsten Softwarekategorien.

Varacode

Generell kann man davon ausgehen, dass eingekaufter Code immer anfälliger ist für Schwachstellen als Code, den Unternehmen selbst entwickeln, da jegliche Haftung immer beim Softwarebetreiber liegt und nicht beim Hersteller. Das Eigeninteresse daran, sichere Anwendungen zu entwickeln, ist also für Drittanbieter nicht so hoch wie für Unternehmen selbst. Auch Veracodes Statusbericht zur Softwaresicherheit Band 6 hat dies belegt:

Varacode

Anbieter von Sicherheitssoftware suchen sich ihre Entwickler für gewöhnlich aus einem Pool aus, bei dem nicht davon ausgegangen werden kann, dass die Entwickler bereits in irgendeiner Form Sicherheitstrainings absolviert haben. Hinzu kommt, dass Sicherheitssoftware am häufigsten in C/C++ geschrieben wird. Diese Programmiersprache weist mehr kritische Schwachstellen, wie Puffer- und Integerüberläufe auf, als moderne, typsichere Sprachen wie Java, C# oder Javascript. Zudem sind Schwachstellen in Sicherheitssoftware noch kritischer, weil diese meist auf einer höheren Berechtigungsstufe laufen als durchschnittliche Software. Das heißt, sie haben die Kontrolle über die Daten zu und von anderen Anwendungen. Wenn hier also eine Sicherheitslücke ausgenutzt wird, bedeutet das, dass oft das komplette System gefährdet ist. Das Ausführen von Sicherheitssoftware erfordert oft komplexes Parsing und Musterkennungen, die typischerweise fehleranfällig sind.

All diese Punkte zusammen machen Sicherheitssoftware zu einem attraktiven Ziel für Angreifer. Es gibt reichlich vorhandene Schwachstellen und da Sicherheitssoftware mit weitreichenden Rechten ausgeführt wird, bin ich überrascht, dass solch gravierende Lücken, wie sie nun bei Symantec und Norton entdeckt wurden, nicht häufiger gefunden werden. Vielleicht wären hierfür noch mehr Prämienprogramme für das Aufdecken von Sicherheitslücken nötig.“ 

www.veracode.de

GRID LIST
Opfer Hacked

KMUs und Cybersicherheit: Einmal Opfer, immer Opfer?

Kleinere Unternehmen mit weniger als 50 Mitarbeitern sind für Cyberkriminelle ein…
Tb W190 H80 Crop Int B8bbe5d72c01eb64ad2593f6c2e54657

KI ist in deutschen Unternehmen Chefsache

NetApp gibt die Ergebnisse einer aktuellen Umfrage zur künstlichen Intelligenz bekannt.…
Bewerberin

Bewerber zwingen Unternehmen zum Umdenken

Die positive Arbeitsmarktsituation in Deutschland führt dazu, dass Bewerber immer…
Trojaner

Banking-Trojaner ist weltweit größte Geschäftsbedrohung

Die Untersuchung des „Malwarebytes Cybercrime Tactics and Techniques Q2 2018”-Reports…
Tb W190 H80 Crop Int E190a342b20e2440a02d89476fb5453f

Cyberattacken auf deutsche Industrie nehmen stark zu

Die deutsche Industrie steht immer häufiger im Fadenkreuz von Cyberkriminellen: Für gut…
Tb W190 H80 Crop Int 992cc663b6b64deb52924faa0e628a28

Die Bewerbungsmappe ist tot

Anschreiben und Lebenslauf ausdrucken, zusammen mit den kopierten Zeugnissen in eine…
Smarte News aus der IT-Welt