Zero-Day-Lücken vom Entdecker im Durchschnitt fast 7 Jahre verwendbar

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Zu diesem Ergebnis kommt eine aktuelle Studie der Rand Corp. Sie basiert auf der Datenbank eines Unternehmens, das auf die Entdeckung und den Verkauf von Sicherheitslücken an Behörden spezialisiert ist. Diese Datenbank umfasst rund 200 Einträge.

Die Ergebnisse einer aktuellen Studie von Experten der RAND Corp. werfen ein völlig neues Licht auf die Verwendbarkeit von einmal aufgedeckten Sicherheitslücken. Sie stellt zugleich diverse Praktiken der IT-Sicherheitsbranche in Frage und nährt Vermutungen, dass die großen Geheimdienste, insbesondere der USA, über ein ansehnliches Arsenal an anderweitig unbekannten Sicherheitslücken verfügen, die es ihnen ermöglichen, Personen nach Belieben über Jahre auszuspionieren.

Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Software-Anbieter stehen in der Regel unter erheblichem Druck, einmal aufgedeckte Sicherheitslücken möglichst rasch zu schließen. Seriöse Entdecker von Sicherheitslücken, etwa Forscher von IT-Sicherheitsfirmen, den darauf spezialisierten Abteilungen großer IT-Konzerne wie Google, IBM oder Cisco oder unabhängige Sicherheitsforscher, die sich mit den Prämien etwas dazuverdienen und durch die Publikationen ihre Expertise unter Beweis stellen, drängen oft darauf, dass nach einem Hinweis ihrerseits an den Software-Hersteller von ihnen gesetzte Fristen streng eingehalten werden.

Benötigt die Auslieferung eines Patches auch nur wenige Tage länger, werden Informationen zu der Lücke quasi als Strafe oft unerbittlich direkt mit Ablauf der Frist veröffentlicht. Begründet wird das in der Regel damit, dass man die Hersteller zwingen wolle, sich mit Sicherheits-Updates etwas zu sputen: Schließlich könne davon ausgegangen werden, dass nachdem es einem Experten gelungen ist, eine Lücke zu finden, Kriminellen das auch gelingen könnte.

“Zero Days, Thousands of Nights”

Die Argumentation ist grundsätzlich nachvollziehbar und erscheint auf den ersten Blick richtig zu sein. Die Studie “Zero Days, Thousands of Nights” der für die RAND Corp. arbeitenden Wissenschaftler Lillian Ablon und Timothy Bogart wirft nun jedoch ein interessantes Schlaglicht auf einen im üblichen IT-Security-Betrieb und der Patch-Hektik bei Firmen wie Adobe, Apple, Google, Microsoft, Oracle und anderen großen Software-Anbietern weitgehend unbeachteten Bereich: Die Möglichkeiten, die jemand hat, der eine Lücke wahrscheinlich als erster entdeckt, sie aber nicht meldet, sondern entweder selbst ausnutzt oder sein Wissen an Dritte weiterverkauft, die das tun wollen. Dabei geht es in erster Linie um Sicherheitslücken, die von Geheimdiensten für ihre Zwecke verwendet werden.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. (Grafik: Statista).
Alleine 2015 wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 Sicherheitslücken geschlossen. Wie lange die allerdings zuvor schon als Zero-Day-Lücke existierten, geht aus der CERT-Statistik nicht hervor (Grafik: Statista).

Im März 2014 war zum Beispiel bekannt geworden, dass die NSA Details zu Zero-Day-Lücken zurückhält. Damals bestätigte NSA-Chef Michael S. Rogers, dass der Geheimdienst selbst entscheide, ob und wann er Anbieter eines betroffenen Produkts informiere.

Ein Beispiel für zurückgehaltene Sicherheitslücken sind die Schwachstellen, die die mutmaßlich von der NSA und dem israelischen Geheimdienst entwickelte Malware Stuxnet benutzt hat. Die Lücken in Software von Microsoft und Siemens ermöglichten es den Geheimdiensten, das Urananreicherungsprogramm des Iran zu sabotieren.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

2105 machte die NSA zum ersten Mal Angaben zu den von ihr entdeckten Sicherheitslecks. Demnach weist der US-Auslandsgeheimdienst bei den “gravierendsten Schwachstellen” gegenüber den jeweiligen Softwareherstellern in 91 Prozent der Fälle darauf hin. Die restlichen 9 Prozent wurden dem damals vorgelegten Bericht zufolge entweder vor der Offenlegung durch die NSA vom Anbieter behoben oder werden aus Gründen der “nationalen Sicherheit” geheim gehalten.

6 Prozent der Sicherheitslücken werden pro Jahr von anderen entdeckt

Der nun vorgelegten Studie der RAND-Forscher dauert es im Durschnitt aber 6,9 Jahre, bis eine der Öffentlichkeit unbekannte Sicherheitslücke geschlossen wird. So lange steht sie also dem Erstentdecker uneingeschränkt zur Verfügung – so lange der damit keinen Unfug anstellt und sie in einem Umfang nutzt, dass gängige IT-Sicherheitswerkzeuge oder die Spezialisten in den Forschungsabteilungen der großen IT-Sicherheitsfirmen auf das Treiben aufmerksam werden. Die zweite Möglichkeit ist, dass jemand anders die Lücke ebenfalls entdeckt. Das geschieht der Studie zufolge pro Jahr etwa bei 6 Prozent, insgesamt ereilte dieses Schicksal 40 Prozent der Schwachstellen in der Datenbank.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Den RAND-Forschern stand für ihre Untersuchungen laut The Intercept eine besonders wertvolle Quelle zur Verfügung: Sie hatten Zugriff auf die Datenbank eines anonymen in der Studie mit dem Decknamen “Busby” bezeichneten Unternehmens, dass Informationen über derartige Sicherheitslücken an Behörden und andere Kunden auf dem grauen Markt verkauft. Die Datenbank umfasst 230 Einträge und reicht bis ins Jahr 2002 zurück. Rund 100 der Exploits sind noch verwendbar, also den Software-Herstellern nicht bekannt und daher ungepatcht. Die Forscher durften für ihre Untersuchung Informationen zu 207 Zero-Day-Lücken auswerten, zu den restlichen wollte das Unternehmen lieber keine Informationen herausgeben, da sie noch für das Geschäft gebraucht werden.

Mehr zum Thema

Sicherheitsrisiken in öffentlichen WLANs vermeiden

Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.

Die mögliche Nutzungsdauer von 6,9 Jahren beschreibt den Zeitraum von der Entdeckung bis sie entweder – von wem auch immer – dem Software-Anbieter gemeldet und von ihm geschlossen wurde, von ihm selbst entdeckt und geschlossen wurde oder bis sie von ihm im Zuge anderer Aktualisierungen eher zufällig behoben wurde – etwa weil ausgenutzte Funktionen anders implementiert wurden oder weggefallen sind.

Zu beachten ist, dass 6,9 Jahre die durchschnittliche, potenzielle Nutzungsdauer darstellt. Rund 25 der untersuchten Lücken waren sogar 10 Jahre lang verwendbar. Weitere 25 Prozent bestanden dagegen “lediglich” bis zu 18 Monaten, bevor sie gepatcht oder durch Updates unbrauchbar wurden. Bestimmte Muster konnten die RAND-Forscher dabei nicht erkennen. So ist es etwa nicht wahrscheinlicher, dass gravierende Schwachstellen schneller als weniger gravierende geschlossen werden. Auch der Verbreitungsgrad der Software hat offenbar keinen Einfluss auf die Zeitspanne, die eine Zero-Day-Lücke verwendbar bleibt.