Liste des Grauens

Top 25 der gefährlichsten Programmierfehler veröffentlicht

13.01.2009
Uli Ries ist freier Journalist in München.
Anzeige  Eigentlich alle IT-Sicherheitsplagen, von Online-Krimininalität über Datenklau bis hin zum Patchen von Software, lassen sich auf die verheerenden Folgen der 25 häufigsten Programmierfehler zurück führen. Das zumindest geht aus einer von Softwarefirmen und US-Regierungsbehörden veröffentlichten Liste hervor.
Top 25: MITRE/SANS listen die 25 gefährlichsten Fehler, die von Programmieren begangen wurden.
Top 25: MITRE/SANS listen die 25 gefährlichsten Fehler, die von Programmieren begangen wurden.
Foto: MITRE/SANS

Die 2009-CWE/SANS-Top-25-Liste der gefährlichsten Programmierfehler führt die schwerwiegendsten Fehler auf, die für ernst zu nehmende Schwächen verantwortlich sein können. Zu den Programmierfehlern gehören schlampige Absicherungen von Benutzereingaben (input validation), mangelndes Einhalten der SQL-Anfrage-Struktur (SQL injection) und fehlerhafter Aufbau von Internetseiten (cross-site scripting). Die aufgelisteten Fehler tauchen laut den Listenverfassern häufig auf, sind einfach zu entdecken und leicht auszunutzen.

Gefährlich sind die Schlampereien, weil Angreifer sie oft ausnutzen können, um die Software unter ihre Kontrolle zu bringen, Daten zu klauen oder die Programme komplett unbrauchbar zu machen. Die negativen Folgen der erfassten Bugs sind den Verfassern zufolge überaus weitreichend. So sind alleine zwei der Programmierfehler für Sicherheitslücken in mehr als 1,5 Millionen Webseiten verantwortlich. Die Lücken wurden von Cyber-Kriminellen dazu ausgenutzt, um Trojaner auf die PCs der Websitebesucher zu schleusen.

Erstellt wurde die Liste des Grauens von MITRE und dem SANS Institute über einen Zeitraum von drei Jahren. Beide Organisationen sind Teil des Projekts Common Weakness Enumeration (CWE), das von der US-Heimatschutzbehörde organisiert wird. Nachdem im vergangenen Jahr über 700 Programmierfehler ins CWE-Listing aufgenommen wurden, baten MITRE und SANS Experten von Software- und IT-Sicherheitsfirmen, die Liste auf 25 Bugs einzudampfen.

Dadurch sollten die Softwarehersteller nicht nur auf die übelsten Programmierfehler aufmerksam gemacht werden. Das Ziel war es darüber hinaus, gemeinsame Tools und Schulungsmaßnahmen zu entwickeln, um die Probleme anzugehen. Software-Managern und CIOs kann die Top 25 als Messlatte dienen, um Fortschritte bei der Absicherung der eigenen Software festzuhalten.

Zu den knapp 30 Firmen und Organisationen, die an der Bewertung der Bugs mitgearbeitet haben, gehören die Softwarehersteller Apple, Microsoft, Oracle und Red Hat. Außerdem die IT-Sicherheitshersteller EMC, McAfee und Symantec, die National Security Agency (NSA) und das amerikanische Energieministerium. Ebenfals beteiligt waren das Computer Emergency Response Team (CERT) and das the Open Web Application Security Project (OWASP).