Sicherheit
BSI setzt auf Schwachstellenampel
von
Thorsten
Eggeling - 05.03.2012
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte künftig mit einem Ampelwarnsystem auf Sicherheitslücken in gängigen Software-Produkten und Betriebssystemen hinweisen.
Das BSI hat sich im Kampf für mehr Sicherheit das im Straßenverkehr bewährte Ampelsystem zum Vorbild genommen. Mit den Farben Rot, Gelb und Grün sollen den Schweregrad der Schwachstellen dargestellt werden. Grün bedeutet, dass ein Produkt keine offene Schwachstelle hat, Gelb warnt den Nutzer vor geringfügigen Schwachstellen. Rot zeigt an, dass wenigstens eine offene kritische Sicherheitslücke vorhanden ist.
Die Grundlage für die Ampel-Bewertung liefert die zweite Revision des Common Vulnerability Scoring System (CVSS v2). Dabei handelt es sich um einen Standard zur Einstufung von Sicherheitslücken.
Bisher werden weit verbreitete Produkte von Adobe, Apple, Google, Microsoft, Mozilla, Oracle und der Linux Kernel beobachtet. Mobile Betriebssysteme werden noch nicht berücksichtigt. Eine regelmäßige Überprüfung der Einstufungen soll nach den jeweiligen Patchdays der Herstellerfirmen den Ampelstatus gegebenenfalls korrigieren.
Zurzeit (05. März 2012) sind bei allen Produkten nur gelbe oder grüne Ampeln zu sehen. In der herstellerspezifischen Liste stehen dagegen fast alle Ampeln auf Rot. Ausnahmen sind Google und Linux. Diese Liste erfasst Vorabmeldungen der Hersteller, die bisher keinem Produkt zugeordnet sind. Das heißt, die Sicherheitslücke ist zwar bekannt, es gibt aber weder Informationen zum betroffenen Produkt noch zu den Auswirkungen der Schwachstelle.
Laut einer Pressemitteilung ist es die Absicht des BSI, dem Anwender mit der Schwachstellenampel „eine leicht verständliche und schnell zu erfassende Übersicht über aktuelle Lücken in gängigen Softwareprodukten zu bieten und so auf möglichen Handlungsbedarf aufmerksam zu machen.“
Wie das Angebot in der Praxis angenommen und genutzt wir, bleibt allerdings abzuwarten. Denn über das Ampelsystem des BSI lässt sich nur schwer beurteilen, wie sicher sich ein Nutzer tatsächlich fühlen darf. Während bei der Produktübersicht alles auf Grün oder Gelb steht, enthalten wahrscheinlich die gleichen Produkte laut Herstellerübersicht gravierende Schwachstellen. Darüber gibt es aber keine Information und wann ein Update erscheint, ist ebenfalls ungewiss. Der Anwender müsste daraus eigentlich die Konsequenz ziehen, keine Software von Unternehmen einzusetzen, in der es kritische Sicherheitslücken gibt. Nach dem momentanen Stand der BSI-Tabellen läuft auf den Rechnern dann aber nur noch Google Chrome und der Linux Kernel.
