Unschöne Erkenntnis aus der Auswertung diverser in den letzten Jahren bekannt gewordener Zero-Day-Exploits. Es dauert im Mittel 6,9 Jahre, bis die Lücken öffentlich bekannt und durch die Softwarehersteller geschlossen werden.
Anzeige
Durch die Vault 7-Veröffentlichungen gewinnt das Thema jetzt an Brisanz. Bei Vault 7 ist WikiLeaks ja auch eine Sammlung an Zero-Day-Exploits in die Hände gefallen, die vom US-Geheimdienst CIA über die Jahre gesammelt und ausgenutzt hat. Es ist davon auszugehen, dass auch andere Geheimdienste und Cyber-Kriminelle solche Sicherheitslücken sammeln.
Die Rand Corporation, eine nicht Profit-orientierte Forschungseinrichtung in den USA, hat sich 200 bekannt gewordene Sicherheitslücken genauer angesehen. Die Ergebnisse sind in diesem Bericht (kostenpflichtig) zu finden. Hier einige Aussagen.
- Bei der Auswertung ergab sich, dass diese Sicherheitslücken im Mittel 6,9 Jahre existieren und ausgenutzt werden können.
- Nur 25 % der Sicherheitslücken werden binnen 1,51 Jahren geschlossen, während 25 % im Mittel 9,5 Jahre existieren.
Die Forscher der Rand Corp. konnten für diesen Bericht auf 200 Sicherheitslücken einer Firma, die diese an Regierungen und auf dem "grauen Markt" verkauft, zurückgreifen. Der Bericht gibt einen Einblick, was im Prinzip durch staatliche (US) Stellen, Geheimdienste, Firmen und auch Cyber-Kriminelle möglich ist.
Dies gewinnt einerseits im Hinblick auf die Diskussion um Überwachung (durch US-Behörden) an Brisanz. Andererseits zeigt es, wie fragil das Thema Sicherheit eigentlich geworden ist – und da will man Industrie 4.0 mit breiter Vernetzung flächendeckend einsetzen. Da wird Industriespionage und –sabotage Tür und Tor geöffnet. Ein recht umfassender Artikel zum Thema lässt sich bei theintercept.com nachlesen.
2015
