Software-Schwachstellen

BSI-Vizepräsident fordert "Beipackzettel" für Software

17.02.2022
Von 
Julia Mutzbauer ist  Editorial Manager bei CSO. Ihr Schwerpunkt ist Security.
Software-Schwachstellen zählen zu den größten Herausforderungen der IT-Sicherheit. Das ist die zentrale Botschaft von Gerhard Schabhüser, BSI-Vizepräsident.
BSI-Vizepräsident Gerhard Schabhüser rät Unternehmen, das IT-Grundschutzhandbuch auch mal zu lesen.
BSI-Vizepräsident Gerhard Schabhüser rät Unternehmen, das IT-Grundschutzhandbuch auch mal zu lesen.
Foto: cio.de

Im vergangenen Jahr sorgten zwei große Sicherheitslücken für große Aufregung in der Security-Branche. "Zunächst dachten wir, die Angriffswelle auf die Microsoft-Exchange-Server ist die größte Herausforderung. Doch dann kam die Schwachstelle in der Java-Bibliothek Log4j", so Gerhard Schabhüser. Die Auswirkungen der Java-Lücke seien noch größer gewesen, da viele Unternehmen nicht gewusst hätten, welche Anwendungen betroffen waren. In Deutschland sei die Log4j-Schwachstelle bisher noch nicht so stark ausgenutzt worden wie in anderen Ländern.

BSI sieht großes Potenzial in Open Source

Nach Ansicht des BSI-Vizepräsidenten gibt es generell zu viele Software-Schwachstellen. Deshalb müsse die Softwarequalität deutlich verbessert werden. Der Sicherheitsexperte spricht sich dazu für einen Security-by-Design-Ansatz aus, wobei die Sicherheit schon bei der Software-Entwicklung berücksichtigt wird. "Zusätzlich bräuchten wir eine Art 'Beipackzettel' für Software, wo draufsteht, welche Software-Komponenten an welcher Stelle eingesetzt werden", schlägt Schabhüser als Lösung vor.

Da Log4j auch in vielen Open-Source-Produkten verwendet wird, äußerte sich der BSI-Experte auch zum Thema Open Source Software (OSS). Das BSI sehe großes Potenzial in OSS, da sie maximale Transparenz bieten würde. Doch ungeprüfte OSS-Anwendungen seinen auch keine Option. Deshalb sollte dafür eine spezielle europaweite Prüfinfrastruktur aufgebaut werden, fordert Schabhüser.

Gerhard Schabhäuser: "Um die 400.000 neue Schadsoftware-Varianten sehen wir jeden Tag."
Gerhard Schabhäuser: "Um die 400.000 neue Schadsoftware-Varianten sehen wir jeden Tag."
Foto: cio.de

Auch Ransomware stelle weiterhin eine große Gefahr für die Cybersicherheit in Unternehmen dar. In der Regel verfolgen die Angreifer dabei das Ziel, Lösegeld für verschlüsselte Nutzerdaten zu erpressen. Manche Unternehmen wüssten zwar mittlerweile, dass sie auf Lösegeld-Forderungen nicht eingehen sollten, doch die Erpresser seien hartnäckig und würden ihre Methoden verfeinern. Schabhüser betont, dass rund 400.000 neue Schadprogrammvarianten pro Tag registriert werden.

Unterstützung für Unternehmen

Um Unternehmen und Institutionen bei der Abwehr von Cyberangriffen zu unterstützen, hat das BSI den IT-Grundschutz entwickelt. Dieser Leitfaden besteht aus einer Sammlung von Handlungsempfehlungen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Der Security-Experte rät Unternehmen, das IT-Grundschutzhandbuch auch mal zu lesen. Zudem verweist Schabhüser darauf, dass das BSI im Rahmen eines Pilotprojekts ein Cybersicherheitsnetzwerk gestartet hat. In der Allianz für Cybersicherheit (ACS) sollen Security-Experten miteinander vernetzt werden und als Ansprechpartner Unternehmen bei IT-Sicherheitsproblemen beratend zur Seite stehen.

Schabhüser zieht das Fazit: "Wir können immer von einer Schwachstelle erwischt werden - selbst, wenn wir sämtliche Sicherheitsmaßnahmen integriert haben."