Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

"Schlimmsten-Liste": CISA veröffentlicht die Top 25 Softwarelücken des Jahres

Die US-Behörde CISA und Mitre haben die Top 25 der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Creative,Code,Skull,Hologram,On,Modern,Computer,Background,,Cybercrime,And

Die Top25 der gefährlichsten Software-Lücken richtet sich neben Entwicklern an Produktverantwortliche, Einkäufer und IT-Sicherheitsverantwortliche

(Bild: Pixels Hunter/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
  • Kathrin Stoll

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem von MITRE betriebenen Homeland Security Systems Engineering and Development Institute (HSSEDI) eine Top-25-Liste der gefährlichsten Software-Schwachstellen des Jahres 2024 veröffentlicht. Die 25 sind laut MITRE die am häufigsten vorkommenden und schwerwiegendsten hinter den 31,770 CVE-Datensätzen des Jahres 2024. Sie würden von Angreifern häufig genutzt, um Systeme zu kompromittieren, sensible Daten zu stehlen oder kritische Systeme zu sabotieren, schreibt die CISA auf ihrer Website.

Empfehlung an Entwickler, Einkäufer und Security-Verantwortliche

Unternehmen und öffentlichen Stellen empfiehlt die Behörde, die Liste bei ihrer Software-Security-Strategie zu beachten. Die gelisteten Schwachstellen in Entwicklungs- und Procurementprozessen zu berücksichtigen, helfe, Sicherheitslücken im Kern des Softwarelebenszyklus zu vermeiden. So sollen Security-Verantwortliche die Top 25 bei Schwachstellenmanagement und Application-Testing-Prozessen berücksichtigen, Entwickler sollen sie zurate ziehen, um mögliche Schwachstellen mit hoher Priorität zu identifizieren. Laut Mitre können so ganze Fehlerklassen eliminiert werden, etwa solche, die die Speichersicherheit betreffen. Produkt- und Entwicklerteams sollen nach Möglichkeit die sogenannten Secure-by-Design-Praktiken in ihre Entwicklungsprozesse integrieren. Secure by Design meint, dass Hersteller von Software Best Practices aus dem Bereich der IT-Sicherheit im gesamten Design- und Entwicklungsprozess befolgen.

Daneben richtet sich die Liste an Einkäufer und Risikomanager: Sie sollen die Liste beim Einschätzen von Anbietern heranziehen und sogenannte Secure-by-Demand-Prinzipien in ihre Prozesse integrieren. Secure by Demand wiederum meint, dass Einkäufer darauf achten, Software nur bei Anbietern zu erwerben, die die Secure by-Design-Richtlinien der CISA befolgen.

Laut Mitre kann das Einbeziehen der Liste in die genannten Prozesse nicht nur das Auftreten von Sicherheitslücken verhindern, sondern auch bei der Analyse von Trends und der Priorisierung von Risiken helfen und unter Umständen eine Kostenreduktion herbeiführen. Transparenz im Umgang mit Schwachstellen und deren Management könne außerdem das Vertrauen der Kunden steigern.

(kst)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten