BSI will Programmsicherheit per Ampel klassifizieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine so genannte Schwachstellenampel online gestellt, die Nutzern verbreiteter Software die Einschätzung möglicher Sicherheitsrisiken erleichtern will.

In Pocket speichern vorlesen Druckansicht 104 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Gerald Himmelein

Die Schwachstellenampel des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll Anwendern einen Überblick darüber geben, wie sicher die von ihnen eingesetzten Betriebssysteme und Standardprogramme sind. Das Bewertungssystem der Ampel stützt sich auf die zweite Revision des Common Vulnerability Scoring System (CVSS v2), eines verbreiteten Standards zur Bewertung von Sicherheitslücken.

Aktuell deckt die Ampel Produkte von Adobe, Apple, Google, Microsoft, Mozilla und Oracle sowie den Linux-Kernel ab. Mobile Betriebssysteme sind nicht aufgeführt. Die Seite führt für jedes Produkt auf, wie viele Schwachstellen mit der letzten Aktualisierung geschlossen wurden und wie viele offene Schwachstellen seitdem bekannt geworden sind. "Kritische" Schwachstellen werden gesondert aufgeführt.

Ein Produkt ohne offene Schwachstellen wird grün markiert – derzeit sind das etwa der Flash-Player, QuickTime und der Linux-Kernel. Produkte mit bekannten Schwachstellen, die nur als geringfügig eingestuft sind, sind mit einer gelben Ampel gekennzeichnet – darunter Windows, der Internet Explorer und Microsoft Office. Die rote Ampel zeigt das BSI Programmen, die mindestens eine bekannte offene "kritische" Schwachstelle besitzen. Derzeit klassifiziert das BSI kein Produkt rot.

Die beobachteten Programme hat das BSI nach deren Verbreitung ausgewählt. Das Augenmerk des Bundesamts liegt also auf Software, deren Sicherheitslücken die größte Zahl an Anwendern betrifft. Abgesehen vom Linux-Kernel sowie den Betriebssystemen Mac OS X und Windows sind dies Acrobat, Flash und der Reader von Adobe, QuickTime und Safari von Apple, Internet Explorer und Office von Microsoft, Firefox und Thunderbird von Mozilla sowie die Java Runtime (JRE) und die Java-Entwicklungsumgebung (JDK) von Oracle. Die Ampel soll nach jedem Patchday der jeweiligen Hersteller aktualisiert werden.

Zusätzlich führt das BSI noch eine Tabelle nach Hersteller, die allgemeine "Schwachstellen-Vorabmeldungen" aufzählt. Dies sind Schwachstellen, über die nur eingeschränkte Informationen vorliegen und die sich deshalb nicht einem bestimmten Produkt zuordnen lassen. Hier ergibt sich ein ganz anderes Bild: Die Mehrzahl der Hersteller ist rot. Apple hat 24 kritische Schwachstellen gemeldet, Microsoft zehn, Oracle neun. Als unbedenklich gekennzeichnet sind derzeit nur Google und Linux.

Die Diskrepanz zwischen den produktspezifischen und den herstellerbezogenen Ampeln stellt freilich die Aussagekraft der ganzen Schwchstellenampeln in Frage. Seiner Pressemitteilung zufolge will das BSI "Anwendern mit der Schwachstellenampel eine leicht verständliche und schnell zu erfassende Übersicht über aktuelle Lücken in gängigen Softwareprodukten" bieten und "auf möglichen Handlungsbedarf aufmerksam" machen.

Hat derselbe Hersteller gleichzeitig vier grün bewertete Produkte, wird insgesamt allerdings mit einer roten Ampel abgestraft, erhält der Anwender keine nutzbare Aussage darüber, wie sicher er tatsächlich ist. Zwar kann man dem BSI schwerlich die Sicherheitspolitik der betroffenen Hersteller vorwerfen. Im aktuellen Zustand ist die Sicherheitsampel jedoch eher ein Alarmsignal über die Informationspolitik der IT-Branche als eine für den Endanwender aussagekräftige Einschätzung über seine persönliche Sicherheit. (ghi)