Lücken werden erst spät geschlossen
Nahezu täglich werden neue Schwachstellen in Software entdeckt.
Doch obwohl meist binnen kurzer Zeit ein entsprechender Patch bereit gestellt wird, dauert es oft Monate bis diese Security-Fixes von den Administratoren auch eingespielt werden.
Dies geht aus einer neue Studie des Security-Unternehmens Qualys hervor. Die Appelle von Sicherheitsexperten und Behörden werden demnach kaum erhört.
Für die Studie wurden über einen Zeitraum von einenhalb Jahren über 1,1 Mio. Scans mit Qualys-Software auf 185.000 Systemen ausgewertet.
Die StudieDesto schwerwiegender die Schwachstellen, desto schneller werden die Systeme zwar mit den aktuellen Updates versehen, doch über die Hälfte der betroffenen Systeme sind laut Qualys auch 30 Tage nach der Veröffentlichung der Patches noch ungeschützt.
Bei Sicherheitslücken, die als weniger kritisch angesehen werden, dauert dieser Prozess in 80 Prozent der Fälle gar über 60 Tage.
Zudem installieren viele Unternehmen weiterhin ältere Software auf ihren Systemen, ohne sie gleichzeitig zu aktualisieren.
Die Vielzahl der ungepatchten Systeme führt weiters dazu, dass altbekannte Bedrohungen wie Code Red oder der Slammer-Wurm immer wieder ein Revival erleben können, erklärt Gerhard Eschelbeck, technischer Leiter bei Qualys.
Bugs kosten US-Wirtschaft jährlich 60 Mrd. USD
Im letzten Jahr hat das US-"National Institute of Standards and
Technology" [NIST] in einer Studie festgestellt, dass Softwarefehler
die US-Wirtschaft jährlich etwa 60 Milliarden USD kosten, etwa 0,6
Prozent des Bruttoinlandsprodukts der Vereinigten Staaten.
Einführung einer Haftung überlegt
Die Studie unterstreicht den Bedarf nach erhöhter Sicherheit schon während der Entwicklung der Software.
Einige Experten vertreten die Meinung, Software könnte wesentlich zuverlässiger sein, würden die Hersteller das nur wollen.
Viele glauben weiters, dass eine Haftung für Bugs seitens der Hersteller das beschleunigen könnte.
Doch eine Einführung dieser Haftung könnte Innovationen bremsen und die Preise für Softwareprodukte in die Höhe treiben.
Überlegt wird daher, die Haftung nur bei Verschweigen des Bug an die Konsumenten und bei festgelegten Schadenshöhen greifen zu lassen.
Hälfte der Zeit für die Fehlersuche
Die Entwickler selbst wenden meist die Hälfte der Zeit mit
Programmieren, die andere mit der Suche nach eventuellen Bugs und
deren Reparatur auf.